第一篇:如何理解信息安全等級(jí)保護(hù)與分級(jí)保護(hù)
《電信交換》2009年
第2期
如何理解信息安全等級(jí)保護(hù)
與分級(jí)保護(hù)
徐 蘇
(電信科學(xué)技術(shù)第十研究所
陜西
西安
710061)
摘 要:信息安全保護(hù)分級(jí)、分區(qū)域、分類(lèi)、分階段是做好國(guó)家信息安全保護(hù)應(yīng)遵循的準(zhǔn)則。國(guó)家信息安全等級(jí)保護(hù)與涉密信息系統(tǒng)分級(jí)保護(hù)是兩個(gè)既聯(lián)系又有區(qū)別的概念。國(guó)家安全信息等級(jí)保護(hù),重點(diǎn)保護(hù)的對(duì)象是非涉密的涉及國(guó)計(jì)民生的重要信息系統(tǒng)和通信基礎(chǔ)信息系統(tǒng);涉密信息系統(tǒng)分級(jí)保護(hù)是國(guó)家信息安全等級(jí)保護(hù)的重要組成部分,是等級(jí)保護(hù)在涉密領(lǐng)域的具體體現(xiàn)。
關(guān)鍵字:國(guó)家信息安全 公眾信息 國(guó)家秘密信息 等級(jí)保護(hù) 分級(jí)保護(hù) 在日常工作中和為用戶(hù)提供服務(wù)的過(guò)程中,什么是信息系統(tǒng)等級(jí)保護(hù)?什么是涉密信息系統(tǒng)分級(jí)保護(hù)?這兩者之間有什么關(guān)系?那些系統(tǒng)需要進(jìn)行等級(jí)保護(hù)?涉密信息系統(tǒng)如何分級(jí)?這是時(shí)常困擾我們的問(wèn)題。
一、信息系統(tǒng)等級(jí)保護(hù)
1999年國(guó)家發(fā)布并于2001年1月1日開(kāi)始實(shí)施GB17859《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》。2003年,中辦、國(guó)辦轉(zhuǎn)發(fā)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》(中辦發(fā)〔2003〕27號(hào)),提出實(shí)行信息安全等級(jí)保護(hù),建立國(guó)家信息安全保障體系的明確要求。2004年9月17日,公安部、國(guó)家保密局、國(guó)家密碼管理委員會(huì)辦公室、國(guó)務(wù)院信息辦下發(fā)了《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》,明確了信息安全等級(jí)保護(hù)的重要意義、原則、基本內(nèi)容、工作職責(zé)分工、要求和實(shí)施計(jì)劃。2006年1月17日,四部門(mén)又下發(fā)了《信息安全等級(jí)保護(hù)管理辦法(試行)》,進(jìn)一步確定職責(zé)分工,明確了公安機(jī)關(guān)負(fù)責(zé)全面工作、國(guó)家保密工作部門(mén)負(fù)責(zé)涉密信息系統(tǒng)、國(guó)家密碼管理部門(mén)負(fù)責(zé)密碼工作、國(guó)務(wù)院信息辦負(fù)責(zé)的管理職責(zé)和要求。涉及國(guó)家秘密的信息系統(tǒng)應(yīng)當(dāng)依據(jù)國(guó)家信息安全等級(jí)保護(hù)的基本要求,按照國(guó)家保密工作部門(mén)涉密信息系統(tǒng)分級(jí)保護(hù)的管理規(guī)定和技術(shù)標(biāo)準(zhǔn),結(jié)合系統(tǒng)實(shí)際情況進(jìn)行保護(hù)。
由于信息系統(tǒng)結(jié)構(gòu)是應(yīng)社會(huì)發(fā)展、社會(huì)生活和工作的需要而設(shè)計(jì)、建立的,是社會(huì)構(gòu)成、行政組織體系的反映,因而這種系統(tǒng)結(jié)構(gòu)是分層次和級(jí)別的,而其中的各種信息系統(tǒng)具有重要的社會(huì)和經(jīng)濟(jì)價(jià)值,不同的系統(tǒng)具有不同的價(jià)值。系統(tǒng)基礎(chǔ)資源和信息資源的價(jià)值大小、徐蘇:如何理解信息安全等級(jí)保護(hù)與分級(jí)保護(hù)
用戶(hù)訪(fǎng)問(wèn)權(quán)限的大小、大系統(tǒng)中各子系統(tǒng)重要程度的區(qū)別等就是級(jí)別的客觀體現(xiàn)。信息安全保護(hù)必須符合客觀存在和發(fā)展規(guī)律,其分級(jí)、分區(qū)域、分類(lèi)和分階段是做好國(guó)家信息安全保護(hù)的前提。
信息系統(tǒng)安全等級(jí)保護(hù)將安全保護(hù)的監(jiān)管級(jí)別劃分為五個(gè)級(jí)別:
第一級(jí):用戶(hù)自主保護(hù)級(jí)
完全由用戶(hù)自己來(lái)決定如何對(duì)資源進(jìn)行保護(hù),以及采用何種方式進(jìn)行保護(hù)。
第二級(jí):系統(tǒng)審計(jì)保護(hù)級(jí)
本級(jí)的安全保護(hù)機(jī)制受到信息系統(tǒng)等級(jí)保護(hù)的指導(dǎo),支持用戶(hù)具有更強(qiáng)的自主保護(hù)能力,特別是具有訪(fǎng)問(wèn)審計(jì)能力。即能創(chuàng)建、維護(hù)受保護(hù)對(duì)象的訪(fǎng)問(wèn)審計(jì)跟蹤記錄,記錄與系統(tǒng)安全相關(guān)事件發(fā)生的日期、時(shí)間、用戶(hù)和事件類(lèi)型等信息,所有和安全相關(guān)的操作都能夠被記錄下來(lái),以便當(dāng)系統(tǒng)發(fā)生安全問(wèn)題時(shí),可以根據(jù)審計(jì)記錄,分析追查事故責(zé)任人,使所有的用戶(hù)對(duì)自己行為的合法性負(fù)責(zé)。
第三級(jí):安全標(biāo)記保護(hù)級(jí)
除具有第二級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)的所有功能外,還它要求對(duì)訪(fǎng)問(wèn)者和訪(fǎng)問(wèn)對(duì)象實(shí)施強(qiáng)制訪(fǎng)問(wèn)控制,并能夠進(jìn)行記錄,以便事后的監(jiān)督、審計(jì)。通過(guò)對(duì)訪(fǎng)問(wèn)者和訪(fǎng)問(wèn)對(duì)象指定不同安全標(biāo)記,監(jiān)督、限制訪(fǎng)問(wèn)者的權(quán)限,實(shí)現(xiàn)對(duì)訪(fǎng)問(wèn)對(duì)象的強(qiáng)制訪(fǎng)問(wèn)控制。
第四級(jí):結(jié)構(gòu)化保護(hù)級(jí)
將前三級(jí)的安全保護(hù)能力擴(kuò)展到所有訪(fǎng)問(wèn)者和訪(fǎng)問(wèn)對(duì)象,支持形式化的安全保護(hù)策略。其本身構(gòu)造也是結(jié)構(gòu)化的,將安全保護(hù)機(jī)制劃分為關(guān)鍵部分和非關(guān)鍵部分,對(duì)關(guān)鍵部分強(qiáng)制性地直接控制訪(fǎng)問(wèn)者對(duì)訪(fǎng)問(wèn)對(duì)象的存取,使之具有相當(dāng)?shù)目節(jié)B透能力。本級(jí)的安全保護(hù)機(jī)制能夠使信息系統(tǒng)實(shí)施一種系統(tǒng)化的安全保護(hù)。
第五級(jí):訪(fǎng)問(wèn)驗(yàn)證保護(hù)級(jí)
這一個(gè)級(jí)別除了具備前四級(jí)的所有功能外還特別增設(shè)了訪(fǎng)問(wèn)驗(yàn)證功能,負(fù)責(zé)仲裁訪(fǎng)問(wèn)者對(duì)訪(fǎng)問(wèn)對(duì)象的所有訪(fǎng)問(wèn)活動(dòng),仲裁訪(fǎng)問(wèn)者能否訪(fǎng)問(wèn)某些對(duì)象從而對(duì)訪(fǎng)問(wèn)對(duì)象實(shí)行專(zhuān)控,保護(hù)信息不能被非授權(quán)獲取。因此,本級(jí)的安全保護(hù)機(jī)制不易被攻擊、被篡改,具有極強(qiáng)的抗?jié)B透的保護(hù)能力。
在等級(jí)保護(hù)的實(shí)際操作中,強(qiáng)調(diào)從五個(gè)部分進(jìn)行保護(hù),即:
物理部分:包括周邊環(huán)境,門(mén)禁檢查,防火、防水、防潮、防鼠、蟲(chóng)害和防雷,防電磁泄漏和干擾,電源備份和管理,設(shè)備的標(biāo)識(shí)、使用、存放和管理等;
支撐系統(tǒng):包括計(jì)算機(jī)系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和通信系統(tǒng);
網(wǎng)絡(luò)部分:包括網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)的布線(xiàn)和防護(hù)、網(wǎng)絡(luò)設(shè)備的管理和報(bào)警,網(wǎng)絡(luò)攻擊的監(jiān)察和處理;
應(yīng)用系統(tǒng):包括系統(tǒng)登錄、權(quán)限劃分與識(shí)別、數(shù)據(jù)備份與容災(zāi)處理,運(yùn)行管理和訪(fǎng)問(wèn)控
徐蘇:如何理解信息安全等級(jí)保護(hù)與分級(jí)保護(hù)
制,密碼保護(hù)機(jī)制和信息存儲(chǔ)管理;
管理制度:包括管理的組織機(jī)構(gòu)和各級(jí)的職責(zé)、權(quán)限劃分和責(zé)任追究制度,人員的管理和培訓(xùn)、教育制度,設(shè)備的管理和引進(jìn)、退出制度,環(huán)境管理和監(jiān)控,安防和巡查制度,應(yīng)急響應(yīng)制度和程序,規(guī)章制度的建立、更改和廢止的控制程序。
由這五部分的安全控制機(jī)制構(gòu)成系統(tǒng)整體安全控制機(jī)制。
二、涉密信息系統(tǒng)分級(jí)保護(hù)
1997年《中共中央關(guān)于加強(qiáng)新形勢(shì)下保密工作的決定》明確了在新形勢(shì)下保密工作的指導(dǎo)思想和基本任務(wù),提出要建立與《保密法》相配套的保密法規(guī)體系和執(zhí)法體系,建立現(xiàn)代化的保密技術(shù)防范體系。中央保密委員會(huì)于2004年12月23日下發(fā)了《關(guān)于加強(qiáng)信息安全保障工作中保密管理若干意見(jiàn)》明確提出要建立健全涉密信息系統(tǒng)分級(jí)保護(hù)制度。2005年12月28日,國(guó)家保密局下發(fā)了《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理辦法》,同時(shí),《保密法》修訂草案也增加了網(wǎng)絡(luò)安全保密管理的條款。隨著《保密法》的貫徹實(shí)施,國(guó)家已經(jīng)基本形成了完善的保密法規(guī)體系。
涉密信息系統(tǒng)實(shí)行分級(jí)保護(hù),先要根據(jù)涉密信息的涉密等級(jí),涉密信息系統(tǒng)的重要性,遭到破壞后對(duì)國(guó)計(jì)民生造成的危害性,以及涉密信息系統(tǒng)必須達(dá)到的安全保護(hù)水平來(lái)確定信息安全的保護(hù)等級(jí);涉密信息系統(tǒng)分級(jí)保護(hù)的核心是對(duì)信息系統(tǒng)安全進(jìn)行合理分級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。國(guó)家保密局專(zhuān)門(mén)對(duì)涉密信息系統(tǒng)如何進(jìn)行分級(jí)保護(hù)制定了一系列的管理辦法和技術(shù)標(biāo)準(zhǔn),目前,正在執(zhí)行的兩個(gè)分級(jí)保護(hù)的國(guó)家保密標(biāo)準(zhǔn)是BMB17《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》和BMB20《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范》。從物理安全、信息安全、運(yùn)行安全和安全保密管理等方面,對(duì)不同級(jí)別的涉密信息系統(tǒng)有明確的分級(jí)保護(hù)措施,從技術(shù)要求和管理標(biāo)準(zhǔn)兩個(gè)層面解決涉密信息系統(tǒng)的分級(jí)保護(hù)問(wèn)題。
涉密信息系統(tǒng)安全分級(jí)保護(hù)根據(jù)其涉密信息系統(tǒng)處理信息的最高密級(jí),可以劃分為秘密級(jí)、機(jī)密級(jí)和機(jī)密級(jí)(增強(qiáng))、絕密級(jí)三個(gè)等級(jí):
秘密級(jí):信息系統(tǒng)中包含有最高為秘密級(jí)的國(guó)家秘密,其防護(hù)水平不低于國(guó)家信息安全等級(jí)保護(hù)三級(jí)的要求,并且還必須符合分級(jí)保護(hù)的保密技術(shù)要求。
機(jī)密級(jí):信息系統(tǒng)中包含有最高為機(jī)密級(jí)的國(guó)家秘密,其防護(hù)水平不低于國(guó)家信息安全等級(jí)保護(hù)四級(jí)的要求,還必須符合分級(jí)保護(hù)的保密技術(shù)要求。屬于下列情況之一的機(jī)密級(jí)信息系統(tǒng)應(yīng)選擇機(jī)密級(jí)(增強(qiáng))的要求:
徐蘇:如何理解信息安全等級(jí)保護(hù)與分級(jí)保護(hù)
(1)信息系統(tǒng)的使用單位為副省級(jí)以上的黨政首腦機(jī)關(guān),以及國(guó)防、外交、國(guó)家安全、軍工等要害部門(mén);
(2)信息系統(tǒng)中的機(jī)密級(jí)信息含量較高或數(shù)量較多;(3)信息系統(tǒng)使用單位對(duì)信息系統(tǒng)的依賴(lài)程度較高。
絕密級(jí):信息系統(tǒng)中包含有最高為絕密級(jí)的國(guó)家秘密,其防護(hù)水平不低于國(guó)家信息安全等級(jí)保護(hù)五級(jí)的要求,還必須符合分級(jí)保護(hù)的保密技術(shù)要求,絕密級(jí)信息系統(tǒng)應(yīng)限定在封閉的安全可控的獨(dú)立建筑內(nèi),不能與城域網(wǎng)或廣域網(wǎng)相聯(lián)。
涉密信息系統(tǒng)分級(jí)保護(hù)的管理過(guò)程分為八個(gè)階段,即系統(tǒng)定級(jí)階段、安全規(guī)劃方案設(shè)計(jì)階段、安全工程實(shí)施階段、信息系統(tǒng)測(cè)評(píng)階段、系統(tǒng)審批階段、安全運(yùn)行及維護(hù)階段、定期評(píng)測(cè)與檢查階段和系統(tǒng)隱退終止階段等。在實(shí)際工作中,涉密信息系統(tǒng)的定級(jí)、安全規(guī)劃方案設(shè)計(jì)的實(shí)施與調(diào)整、安全運(yùn)行及維護(hù)三個(gè)階段,尤其要引起重視。
系統(tǒng)定級(jí)決定了系統(tǒng)方案的設(shè)計(jì)實(shí)施、安全措施、運(yùn)行維護(hù)等涉密信息系統(tǒng)建設(shè)的各個(gè)環(huán)節(jié),因此如何準(zhǔn)確地對(duì)涉密信息系統(tǒng)進(jìn)行定級(jí)在涉密信息系統(tǒng)實(shí)施分級(jí)保護(hù)中尤為重要。涉密信息系統(tǒng)定級(jí)遵循“誰(shuí)建設(shè)、誰(shuí)定級(jí)"的原則,可以根據(jù)信息密級(jí)、系統(tǒng)重要性和安全策略劃分為不同的安全域,針對(duì)不同的安全域確定不同的等級(jí),并進(jìn)行相應(yīng)的保護(hù)。在涉密信息系統(tǒng)定級(jí)時(shí),可以綜合考慮涉密信息系統(tǒng)中資產(chǎn)、威脅、受到損害后的影響,以及使用單位對(duì)涉密信息系統(tǒng)的信賴(lài)性等因素對(duì)涉密信息系統(tǒng)進(jìn)行整體定級(jí);同時(shí),在同一個(gè)系統(tǒng)里,還允許劃分不同的安全域,在每個(gè)安全域可以分別定級(jí),不同的級(jí)別采取不同的安全措施,更加科學(xué)地實(shí)施分級(jí)保護(hù),在一定程度上可以解決保重點(diǎn),保核心的問(wèn)題,也可以有效地避免因過(guò)度保護(hù)而造成應(yīng)用系統(tǒng)運(yùn)行效能降低以及投資浪費(fèi)等問(wèn)題。涉密信息系統(tǒng)建設(shè)單位在定級(jí)的同時(shí),必須報(bào)主管部門(mén)審批。
涉密信息系統(tǒng)要按照分級(jí)保護(hù)的標(biāo)準(zhǔn),結(jié)合涉密信息系統(tǒng)應(yīng)用的實(shí)際情況進(jìn)行方案設(shè)計(jì)。設(shè)計(jì)時(shí)要逐項(xiàng)進(jìn)行安全風(fēng)險(xiǎn)分析,并根據(jù)安全風(fēng)險(xiǎn)分析的結(jié)果,對(duì)部分保護(hù)要求進(jìn)行適當(dāng)?shù)恼{(diào)整和改造,調(diào)整應(yīng)以不降低涉密信息系統(tǒng)整體安全保護(hù)強(qiáng)度,確保國(guó)家秘密安全為原則。當(dāng)保護(hù)要求不能滿(mǎn)足實(shí)際安全需求時(shí),應(yīng)適當(dāng)選擇采用部分較高的保護(hù)要求,當(dāng)保護(hù)要求明顯高于實(shí)際安全需求時(shí),可適當(dāng)選擇采用部分較低的保護(hù)要求。對(duì)于安全策略的調(diào)整以及改造方案進(jìn)行論證,綜合考慮修改項(xiàng)和其他保護(hù)要求之間的相關(guān)性,綜合分析,改造方案的實(shí)施以及后續(xù)測(cè)評(píng)要按照國(guó)家的標(biāo)準(zhǔn)執(zhí)行,并且要求文檔化。在設(shè)計(jì)完成之后要進(jìn)行方案論證,由建設(shè)使用單位組織有關(guān)的專(zhuān)家和部門(mén)進(jìn)行方案設(shè)計(jì)論證,確定總體方案達(dá)到分級(jí)保護(hù)技術(shù)的要求后再開(kāi)始實(shí)施;在工程建設(shè)實(shí)施過(guò)程中注意工程監(jiān)理的要求;建設(shè)完成之后應(yīng)
徐蘇:如何理解信息安全等級(jí)保護(hù)與分級(jí)保護(hù)
該進(jìn)行審批;審批前由國(guó)家保密局授權(quán)的涉密信息系統(tǒng)測(cè)評(píng)機(jī)構(gòu)進(jìn)行系統(tǒng)測(cè)評(píng),確定在技術(shù)層面是否達(dá)到了涉密信息系統(tǒng)分級(jí)保護(hù)的要求。
運(yùn)行及維護(hù)過(guò)程的不可控性以及隨意性,往往是涉密信息系統(tǒng)安全運(yùn)行的重大隱患。通過(guò)運(yùn)行管理和控制、變更管理和控制,對(duì)安全狀態(tài)進(jìn)行監(jiān)控,對(duì)發(fā)生的安全事件及時(shí)響應(yīng),在流程上對(duì)系統(tǒng)的運(yùn)行維護(hù)進(jìn)行規(guī)范,從而確保涉密信息系統(tǒng)正常運(yùn)行。通過(guò)安全檢查和持續(xù)改進(jìn),不斷跟蹤涉密信息系統(tǒng)的變化,并依據(jù)變化進(jìn)行調(diào)整,確保涉密信息系統(tǒng)滿(mǎn)足相應(yīng)分級(jí)的安全要求,并處于良好安全狀態(tài)。由于運(yùn)行維護(hù)的規(guī)范化能夠大幅度地提高系統(tǒng)運(yùn)行及維護(hù)的安全級(jí)別,所以在運(yùn)行維護(hù)中應(yīng)盡可能地實(shí)現(xiàn)流程固化,操作自動(dòng)化,減少人員參與帶來(lái)的風(fēng)險(xiǎn)。還需要注意的是在安全運(yùn)行及維護(hù)中保持系統(tǒng)安全策略的準(zhǔn)確性以及與安全目標(biāo)的一致性,使安全策略作為安全運(yùn)行的驅(qū)動(dòng)力以及重要的制約規(guī)則,從而保持整個(gè)涉密信息系統(tǒng)能夠按照既定的安全策略運(yùn)行。在安全運(yùn)行及維護(hù)階段,當(dāng)局部調(diào)整等原因?qū)е掳踩胧┳兓瘯r(shí),如果不影響系統(tǒng)的安全分級(jí),應(yīng)從安全運(yùn)行及維護(hù)階段進(jìn)入安全工程實(shí)施階段,重新調(diào)整和實(shí)施安全措施,確保滿(mǎn)足分級(jí)保護(hù)的要求;當(dāng)系統(tǒng)發(fā)生重大變更影響系統(tǒng)的安全分級(jí)時(shí),應(yīng)從安全運(yùn)行及維護(hù)階段進(jìn)入系統(tǒng)定級(jí)階段,重新開(kāi)始一次分級(jí)保護(hù)實(shí)施過(guò)程。
隨著我們國(guó)家民主與法制建設(shè)進(jìn)程的不斷推進(jìn),保密的范圍和事項(xiàng)正在逐步減少,致使一些涉密人員保密意識(shí)和敵情觀念淡化,對(duì)保密工作的必要性和重要性認(rèn)識(shí)不足。雖然長(zhǎng)期處于和平時(shí)期,但并不意味著無(wú)密可保。事實(shí)上,政府部門(mén)掌握著大量重要甚至核心的機(jī)密,已成為各種竊密活動(dòng)的重點(diǎn)目標(biāo)。我黨政機(jī)關(guān)和軍工單位也是國(guó)家秘密非常集中的領(lǐng)域,一直是竊密與反竊密,滲透與反滲透的主戰(zhàn)場(chǎng)。據(jù)國(guó)家有關(guān)部門(mén)統(tǒng)計(jì),在全國(guó)泄密事件中,軍工系統(tǒng)占有很大比例。境內(nèi)外敵對(duì)勢(shì)力和情報(bào)機(jī)構(gòu)以我黨政軍機(jī)關(guān)和軍工單位為主要目標(biāo)的竊密活動(dòng)更加突出,滲透與反滲透、竊密與反竊密的斗爭(zhēng)更加激烈。由于一些單位涉密信息系統(tǒng)安全保障能力不夠、管理不力,導(dǎo)致涉密信息系統(tǒng)泄密案件的比例逐年上升,安全保密形勢(shì)非常嚴(yán)峻。因此嚴(yán)格按照涉密信息系統(tǒng)分級(jí)保護(hù)的要求,加強(qiáng)涉密信息系統(tǒng)建設(shè)意義重大。
三、等級(jí)保護(hù)和分級(jí)保護(hù)之間的關(guān)系
國(guó)家信息安全等級(jí)保護(hù)與涉密信息系統(tǒng)分級(jí)保護(hù)是兩個(gè)既有聯(lián)系又有區(qū)別的概念。涉密信息系統(tǒng)分級(jí)保護(hù)是國(guó)家信息安全等級(jí)保護(hù)的重要組成部分,是等級(jí)保護(hù)在涉密領(lǐng)域的具體體現(xiàn)。
國(guó)家安全信息等級(jí)保護(hù)重點(diǎn)保護(hù)的對(duì)象是涉及國(guó)計(jì)民生的重要信息系統(tǒng)和通信基礎(chǔ)信 5
徐蘇:如何理解信息安全等級(jí)保護(hù)與分級(jí)保護(hù)
息系統(tǒng),而不論它是否涉密。如:
(1)國(guó)家事務(wù)處理信息系統(tǒng)(黨政機(jī)關(guān)辦公系統(tǒng));
(2)金融、稅務(wù)、工商、海關(guān)、能源、交通運(yùn)輸、社會(huì)保障、教育等基礎(chǔ)設(shè)施的信息系統(tǒng);
(3)國(guó)防工業(yè)企業(yè)、科研等單位的信息系統(tǒng);
(4)公用通信、廣播電視傳輸?shù)然A(chǔ)信息網(wǎng)絡(luò)中的計(jì)算機(jī)信息系統(tǒng);(5)互聯(lián)網(wǎng)網(wǎng)絡(luò)管理中心、關(guān)鍵節(jié)點(diǎn)、重要網(wǎng)站以及重要應(yīng)用系統(tǒng);(6)其他領(lǐng)域的重要信息系統(tǒng)。
國(guó)家實(shí)行信息安全等級(jí)保護(hù)制度,有利于建立長(zhǎng)效機(jī)制,保證安全保護(hù)工作穩(wěn)固、持久地進(jìn)行下去;有利于在信息化建設(shè)過(guò)程中同步建設(shè)信息安全設(shè)施,保障信息安全與信息化建設(shè)相協(xié)調(diào);有利于突出重點(diǎn),加強(qiáng)對(duì)涉及國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全保護(hù)和管理監(jiān)督;有利于明確國(guó)家、企業(yè)、個(gè)人的安全責(zé)任,強(qiáng)化政府監(jiān)管職能,共同落實(shí)各項(xiàng)安全建設(shè)和安全管理措施;有利于提高安全保護(hù)的科學(xué)性、針對(duì)性,推動(dòng)網(wǎng)絡(luò)安全服務(wù)機(jī)制的建立和完善;有利于采取系統(tǒng)、規(guī)范、經(jīng)濟(jì)有效、科學(xué)的管理和技術(shù)保障措施,提高整體安全保護(hù)水平,保障信息系統(tǒng)安全正常運(yùn)行,保障信息安全,進(jìn)而保障各行業(yè)、部門(mén)和單位的職能與業(yè)務(wù)安全、高速、高效地運(yùn)轉(zhuǎn);有利于根據(jù)所保護(hù)的信息的重要程度,決定保護(hù)等級(jí),防止“過(guò)保護(hù)”和“欠保護(hù)”的情況發(fā)生;有利于信息安全保護(hù)科學(xué)技術(shù)和產(chǎn)業(yè)化發(fā)展。
涉密信息系統(tǒng)分級(jí)保護(hù)保護(hù)的對(duì)象是所有涉及國(guó)家秘密的信息系統(tǒng),重點(diǎn)是黨政機(jī)關(guān)、軍隊(duì)和軍工單位,由各級(jí)保密工作部門(mén)根據(jù)涉密信息系統(tǒng)的保護(hù)等級(jí)實(shí)施監(jiān)督管理,確保系統(tǒng)和信息安全,確保國(guó)家秘密不被泄漏。國(guó)家秘密信息是國(guó)家主權(quán)的重要內(nèi)容,關(guān)系到國(guó)家的安全和利益,一旦泄露,必將直接危害國(guó)家的政治安全、經(jīng)濟(jì)安全、國(guó)防安全、科技安全和文化安全。沒(méi)有國(guó)家秘密的信息安全,國(guó)家就會(huì)喪失信息主權(quán)和信息控制權(quán),所以國(guó)家秘密的信息安全是國(guó)家信息安全保障體系中的重要組成部分。
因?yàn)椴煌?lèi)別、不同層次的國(guó)家秘密信息,對(duì)于維護(hù)國(guó)家安全和利益具有不同的價(jià)值,所以需要不同的保護(hù)強(qiáng)度種措施。對(duì)不同密級(jí)的信息,應(yīng)當(dāng)合理平衡安全風(fēng)險(xiǎn)與成本,采取不同強(qiáng)度的保護(hù)措施,這就是分級(jí)保護(hù)的核心思想。對(duì)涉密信息系統(tǒng)的保護(hù),既要反對(duì)只重應(yīng)用不講安全,防護(hù)措施不到位造成各種泄密隱患和漏洞的“弱保護(hù)”現(xiàn)象;同時(shí)也要反對(duì)不從實(shí)際出發(fā),防護(hù)措施“一刀切”,造成經(jīng)費(fèi)與資源浪費(fèi)的“過(guò)保護(hù)”現(xiàn)象。對(duì)涉密信息系統(tǒng)實(shí)行分級(jí)保護(hù),就是要使保護(hù)重點(diǎn)更加突出,保護(hù)方法更加科學(xué),保護(hù)的投入產(chǎn)出比更加合理,徐蘇:如何理解信息安全等級(jí)保護(hù)與分級(jí)保護(hù)
從而徹底解決長(zhǎng)期困擾涉密單位在涉密信息系統(tǒng)建設(shè)使用中的網(wǎng)絡(luò)互聯(lián)與安全保密問(wèn)題。
由上可以看出國(guó)家信息安全等級(jí)保護(hù)是國(guó)家從整體上、根本上解決國(guó)家信息安全問(wèn)題的辦法, 進(jìn)一步確定了信息安全發(fā)展的主線(xiàn)和中心任務(wù), 提出了總體要求。對(duì)信息系統(tǒng)實(shí)行等級(jí)保護(hù)是國(guó)家法定制度和基本國(guó)策,是開(kāi)展信息安全保護(hù)工作的有效辦法,是信息安全保護(hù)工作的發(fā)展方向。而涉密信息系統(tǒng)分級(jí)保護(hù)則是國(guó)家信息安全等級(jí)保護(hù)在涉及國(guó)家秘密信息的信息系統(tǒng)中的特殊保護(hù)措施與方法。由于國(guó)家秘密信息與公開(kāi)信息在內(nèi)容和特性上有著明顯的區(qū)別,所以涉密信息系統(tǒng)和公眾信息系統(tǒng)在保障安全的原則、系統(tǒng)和方法等方面也有不同的要求。既不能用維護(hù)國(guó)家秘密信息安全的辦法去維護(hù)國(guó)家公眾信息安全,以至于影響信息的合理利用,阻礙信息化的發(fā)展;也不能用維護(hù)公眾信息安全的辦法來(lái)維護(hù)國(guó)家的秘密信息安全,以至于竊密、泄密事件的發(fā)生,危害國(guó)家的安全和利益,同樣影響信息化的健康發(fā)展。
第二篇:信息安全等級(jí)保護(hù)
信息安全等級(jí)保護(hù)(二級(jí))信息安全等級(jí)保護(hù)(二級(jí))備注:其中黑色字體為信息安全等級(jí)保護(hù)第二級(jí)系統(tǒng)要求,藍(lán)色字體為第三級(jí)系統(tǒng)等保要求。
一、物理安全
1、應(yīng)具有機(jī)房和辦公場(chǎng)地的設(shè)計(jì)/驗(yàn)收文檔(機(jī)房場(chǎng)地的選址說(shuō)明、地線(xiàn)連接要求的描述、建筑材料具有相應(yīng)的耐火等級(jí)說(shuō)明、接地防靜電措施)
2、應(yīng)具有有來(lái)訪(fǎng)人員進(jìn)入機(jī)房的申請(qǐng)、審批記錄;來(lái)訪(fǎng)人員進(jìn)入機(jī)房的登記記錄
3、應(yīng)配置電子門(mén)禁系統(tǒng)(三級(jí)明確要求);電子門(mén)禁系統(tǒng)有驗(yàn)收文檔或產(chǎn)品安全認(rèn)證資質(zhì),電子門(mén)禁系統(tǒng)運(yùn)行和維護(hù)記錄
4、主要設(shè)備或設(shè)備的主要部件上應(yīng)設(shè)置明顯的不易除去的標(biāo)記
5、介質(zhì)有分類(lèi)標(biāo)識(shí);介質(zhì)分類(lèi)存放在介質(zhì)庫(kù)或檔案室內(nèi),磁介質(zhì)、紙介質(zhì)等分類(lèi)存放
6、應(yīng)具有攝像、傳感等監(jiān)控報(bào)警系統(tǒng);機(jī)房防盜報(bào)警設(shè)施的安全資質(zhì)材料、安裝測(cè)試和驗(yàn)收?qǐng)?bào)告;機(jī)房防盜報(bào)警系統(tǒng)的運(yùn)行記錄、定期檢查和維護(hù)記錄;
7、應(yīng)具有機(jī)房監(jiān)控報(bào)警設(shè)施的安全資質(zhì)材料、安裝測(cè)試和驗(yàn)收?qǐng)?bào)告;機(jī)房監(jiān)控報(bào)警系統(tǒng)的運(yùn)行記錄、定期檢查和維護(hù)記錄
8、應(yīng)具有機(jī)房建筑的避雷裝置;通過(guò)驗(yàn)收或國(guó)家有關(guān)部門(mén)的技術(shù)檢測(cè);
9、應(yīng)在電源和信號(hào)線(xiàn)上增加有資質(zhì)的防雷保安器;具有防雷檢測(cè)資質(zhì)的檢測(cè)部門(mén)對(duì)防雷裝置的檢測(cè)報(bào)告
10、應(yīng)具有自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警、自動(dòng)滅火的自動(dòng)消防系統(tǒng);自動(dòng)消防系統(tǒng)的運(yùn)行記錄、檢查和定期維護(hù)記錄;消防產(chǎn)品有效期合格;自動(dòng)消防系統(tǒng)是經(jīng)消防檢測(cè)部門(mén)檢測(cè)合格的產(chǎn)品
11、應(yīng)具有除濕裝置;空調(diào)機(jī)和加濕器;溫濕度定期檢查和維護(hù)記錄
12、應(yīng)具有水敏感的檢測(cè)儀表或元件;對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警;防水檢測(cè)裝置的運(yùn)行記錄、定期檢查和維護(hù)記錄
13、應(yīng)具有溫濕度自動(dòng)調(diào)節(jié)設(shè)施;溫濕度自動(dòng)調(diào)節(jié)設(shè)施的運(yùn)行記錄、定期檢查和維護(hù)記錄
14、應(yīng)具有短期備用電力供應(yīng)設(shè)備(如UPS);短期備用電力供應(yīng)設(shè)備的運(yùn)行記錄、定期檢查和維護(hù)記錄
15、應(yīng)具有冗余或并行的電力電纜線(xiàn)路(如雙路供電方式)
16、應(yīng)具有備用供電系統(tǒng)(如備用發(fā)電機(jī));備用供電系統(tǒng)運(yùn)行記錄、定期檢查和維護(hù)記錄
二、安全管理制度
1、應(yīng)具有對(duì)重要管理操作的操作規(guī)程,如系統(tǒng)維護(hù)手冊(cè)和用戶(hù)操作規(guī)程
2、應(yīng)具有安全管理制度的制定程序:
3、應(yīng)具有專(zhuān)門(mén)的部門(mén)或人員負(fù)責(zé)安全管理制度的制定(發(fā)布制度具有統(tǒng)一的格式,并進(jìn)行版本控制)
4、應(yīng)對(duì)制定的安全管理制度進(jìn)行論證和審定,論證和審定方式如何(如召開(kāi)評(píng)審會(huì)、函審、內(nèi)部審核等),應(yīng)具有管理制度評(píng)審記錄
5、應(yīng)具有安全管理制度的收發(fā)登記記錄,收發(fā)應(yīng)通過(guò)正式、有效的方式(如正式發(fā)文、領(lǐng)導(dǎo)簽署和單位蓋章等)----安全管理制度應(yīng)注明發(fā)布范圍,并對(duì)收發(fā)文進(jìn)行登記。
6、信息安全領(lǐng)導(dǎo)小組定期對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定,審定周期多長(zhǎng)。(安全管理制度體系的評(píng)審記錄)
7、系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時(shí)應(yīng)對(duì)安全管理制度進(jìn)行檢查,對(duì)需要改進(jìn)的制度進(jìn)行修訂。(應(yīng)具有安全管理制度修訂記錄)
三、安全管理機(jī)構(gòu)
1、應(yīng)設(shè)立信息安全管理工作的職能部門(mén)
2、應(yīng)設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人
3、應(yīng)設(shè)立機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位(分工明確,各司其職),數(shù)量情況(管理人員名單、崗位與人員對(duì)應(yīng)關(guān)系表)
4、安全管理員應(yīng)是專(zhuān)職人員
5、關(guān)鍵事物需要配備2人或2人以上共同管理,人員具體配備情況如何。
6、應(yīng)設(shè)立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組(最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)的人員擔(dān)任)
7、應(yīng)對(duì)重要信息系統(tǒng)活動(dòng)進(jìn)行審批(如系統(tǒng)變更、重要操作、物理訪(fǎng)問(wèn)和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓(xùn)、產(chǎn)品的采購(gòu)、外部人員的訪(fǎng)問(wèn)等),審批部門(mén)是何部門(mén),審批人是何人。審批程序:
8、應(yīng)與其它部門(mén)之間及內(nèi)部各部門(mén)管理人員定期進(jìn)行溝通(信息安全領(lǐng)導(dǎo)小組或者安全管理委員會(huì)應(yīng)定期召開(kāi)會(huì)議)
9、應(yīng)組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門(mén)內(nèi)部的安全工作會(huì)議文件或會(huì)議記錄,定期:
10、信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組安全管理工作執(zhí)行情況的文件或工作記錄(如會(huì)議記錄/紀(jì)要,信息安全工作決策文檔等)
11、應(yīng)與公安機(jī)關(guān)、電信公司和兄弟單位等的溝通合作(外聯(lián)單位聯(lián)系列表)
12、應(yīng)與供應(yīng)商、業(yè)界專(zhuān)家、專(zhuān)業(yè)的安全公司、安全組織等建立溝通、合作機(jī)制。
13、聘請(qǐng)信息安全專(zhuān)家作為常年的安全顧問(wèn)(具有安全顧問(wèn)名單或者聘請(qǐng)安全顧問(wèn)的證明文件、具有安全顧問(wèn)參與評(píng)審的文檔或記錄)
14、應(yīng)組織人員定期對(duì)信息系統(tǒng)進(jìn)行安全檢查(查看檢查內(nèi)容是否包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況)
15、應(yīng)定期進(jìn)行全面安全檢查(安全檢查是否包含現(xiàn)行技術(shù)措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格,安全檢查報(bào)告,檢查結(jié)果通告記錄)
四、人員安全管理
1、何部門(mén)/何人負(fù)責(zé)安全管理和技術(shù)人員的錄用工作(錄用過(guò)程)
2、應(yīng)對(duì)被錄用人的身份、背景、專(zhuān)業(yè)資格和資質(zhì)進(jìn)行審查,對(duì)技術(shù)人員的技術(shù)技能進(jìn)行考核,技能考核文檔或記錄
3、應(yīng)與錄用后的技術(shù)人員簽署保密協(xié)議(協(xié)議中有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容)
4、應(yīng)設(shè)定關(guān)鍵崗位,對(duì)從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔,是否要求其簽署崗位安全協(xié)議。
5、應(yīng)及時(shí)終止離崗人員的所有訪(fǎng)問(wèn)權(quán)限(離崗人員所有訪(fǎng)問(wèn)權(quán)限終止的記錄)
6、應(yīng)及時(shí)取回離崗人員的各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備等(交還身份證件和設(shè)備等的登記記錄)
7、人員離崗應(yīng)辦理調(diào)離手續(xù),是否要求關(guān)鍵崗位調(diào)離人員承諾相關(guān)保密義務(wù)后方可離開(kāi)(具有按照離崗程序辦理調(diào)離手續(xù)的記錄,調(diào)離人員的簽字)
8、對(duì)各個(gè)崗位人員應(yīng)定期進(jìn)行安全技能考核;具有安全技能考核記錄,考核內(nèi)容要求包含安全知識(shí)、安全技能等。
9、對(duì)關(guān)鍵崗位人員的安全審查和考核與一般崗位人員有何不同,審查內(nèi)容是否包括操作行為和社會(huì)關(guān)系等。
10、應(yīng)對(duì)各類(lèi)人員(普通用戶(hù)、運(yùn)維人員、單位領(lǐng)導(dǎo)等)進(jìn)行安全教育、崗位技能和安全技術(shù)培訓(xùn)。
11、應(yīng)針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃,并按照計(jì)劃對(duì)各個(gè)崗位人員進(jìn)行安全教育和培訓(xùn)(安全教育和培訓(xùn)的結(jié)果記錄,記錄應(yīng)與培訓(xùn)計(jì)劃一致)
12、外部人員進(jìn)入條件(對(duì)哪些重要區(qū)域的訪(fǎng)問(wèn)須提出書(shū)面申請(qǐng)批準(zhǔn)后方可進(jìn)入),外部人員進(jìn)入的訪(fǎng)問(wèn)控制(由專(zhuān)人全程陪同或監(jiān)督等)
13、應(yīng)具有外部人員訪(fǎng)問(wèn)重要區(qū)域的書(shū)面申請(qǐng)
14、應(yīng)具有外部人員訪(fǎng)問(wèn)重要區(qū)域的登記記錄(記錄描述了外部人員訪(fǎng)問(wèn)重要區(qū)域的進(jìn)入時(shí)間、離開(kāi)時(shí)間、訪(fǎng)問(wèn)區(qū)域、訪(fǎng)問(wèn)設(shè)備或信息及陪同人等)
五、系統(tǒng)建設(shè)管理
1、應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)(具有定級(jí)文檔,明確信息系統(tǒng)安全保護(hù)等級(jí))
2、應(yīng)具有系統(tǒng)建設(shè)/整改方案
3、應(yīng)授權(quán)專(zhuān)門(mén)的部門(mén)對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃,由何部門(mén)/何人負(fù)責(zé)
4、應(yīng)具有系統(tǒng)的安全建設(shè)工作計(jì)劃(系統(tǒng)安全建設(shè)工作計(jì)劃中明確了近期和遠(yuǎn)期的安全建設(shè)計(jì)劃)
5、應(yīng)組織相關(guān)部門(mén)和有關(guān)安全技術(shù)專(zhuān)家對(duì)總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件進(jìn)行論證和審定(配套文件的論證評(píng)審記錄或文檔)
6、應(yīng)對(duì)總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件應(yīng)定期進(jìn)行調(diào)整和修訂
7、應(yīng)具有總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的維護(hù)記錄或修訂版本
8、應(yīng)按照國(guó)家的相關(guān)規(guī)定進(jìn)行采購(gòu)和使用系統(tǒng)信息安全產(chǎn)品
9、安全產(chǎn)品的相關(guān)憑證,如銷(xiāo)售許可等,應(yīng)使用符合國(guó)家有關(guān)規(guī)定產(chǎn)品
10、應(yīng)具有專(zhuān)門(mén)的部門(mén)負(fù)責(zé)產(chǎn)品的采購(gòu)
11、采購(gòu)產(chǎn)品前應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試確定產(chǎn)品的候選范圍,形成候選產(chǎn)品清單,是否定期審定和更新候選產(chǎn)品名單
12、應(yīng)具有產(chǎn)品選型測(cè)試結(jié)果記錄和候選產(chǎn)品名單及更新記錄(產(chǎn)品選型測(cè)試結(jié)果文檔)
13、應(yīng)具有軟件設(shè)計(jì)相關(guān)文檔,專(zhuān)人保管軟件設(shè)計(jì)的相關(guān)文檔,應(yīng)具有軟件使用指南或操作手冊(cè)
14、對(duì)程序資源庫(kù)的修改、更新、發(fā)布應(yīng)進(jìn)行授權(quán)和批準(zhǔn)
15、應(yīng)具有程序資源庫(kù)的修改、更新、發(fā)布文檔或記錄
16、軟件交付前應(yīng)依據(jù)開(kāi)發(fā)協(xié)議的技術(shù)指標(biāo)對(duì)軟件功能和性能等進(jìn)行驗(yàn)收檢測(cè)
17、軟件安裝之前應(yīng)檢測(cè)軟件中的惡意代碼(該軟件包的惡意代碼檢測(cè)報(bào)告),檢測(cè)工具是否是第三方的商業(yè)產(chǎn)品
18、應(yīng)具有軟件設(shè)計(jì)的相關(guān)文檔和使用指南
19、應(yīng)具有需求分析說(shuō)明書(shū)、軟件設(shè)計(jì)說(shuō)明書(shū)、軟件操作手冊(cè)等開(kāi)發(fā)文檔
20、應(yīng)指定專(zhuān)門(mén)部門(mén)或人員按照工程實(shí)施方案的要求對(duì)工程實(shí)施過(guò)程進(jìn)行進(jìn)度和質(zhì)量控制
21、應(yīng)具有工程實(shí)施過(guò)程應(yīng)按照實(shí)施方案形成各種文檔,如階段性工程進(jìn)程匯報(bào)報(bào)告,工程實(shí)施方案
22、在信息系統(tǒng)正式運(yùn)行前,應(yīng)委托第三方測(cè)試機(jī)構(gòu)根據(jù)設(shè)計(jì)方案或合同要求對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測(cè)試(第三方測(cè)試機(jī)構(gòu)出示的系統(tǒng)安全性測(cè)試驗(yàn)收?qǐng)?bào)告)
23、應(yīng)具有工程測(cè)試驗(yàn)收方案(測(cè)試驗(yàn)收方案與設(shè)計(jì)方案或合同要求內(nèi)容一致)
24、應(yīng)具有測(cè)試驗(yàn)收?qǐng)?bào)告
25、應(yīng)指定專(zhuān)門(mén)部門(mén)負(fù)責(zé)測(cè)試驗(yàn)收工作(具有對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定的意見(jiàn))
26、根據(jù)交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)(系統(tǒng)交付清單)
27、應(yīng)具有系統(tǒng)交付時(shí)的技術(shù)培訓(xùn)記錄
28、應(yīng)具有系統(tǒng)建設(shè)文檔(如系統(tǒng)建設(shè)方案)、指導(dǎo)用戶(hù)進(jìn)行系統(tǒng)運(yùn)維的文檔(如服務(wù)器操作規(guī)程書(shū))以及系統(tǒng)培訓(xùn)手冊(cè)等文檔。
29、應(yīng)指定部門(mén)負(fù)責(zé)系統(tǒng)交付工作
30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開(kāi)發(fā)商、系統(tǒng)集成商、系統(tǒng)運(yùn)維商和等級(jí)測(cè)評(píng)機(jī)構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議(文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容
31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)
32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書(shū)
11、采購(gòu)產(chǎn)品前應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試確定產(chǎn)品的候選范圍,形成候選產(chǎn)品清單,是否定期審定和更新候選產(chǎn)品名單
12、應(yīng)具有產(chǎn)品選型測(cè)試結(jié)果記錄和候選產(chǎn)品名單及更新記錄(產(chǎn)品選型測(cè)試結(jié)果文檔)
13、應(yīng)具有軟件設(shè)計(jì)相關(guān)文檔,專(zhuān)人保管軟件設(shè)計(jì)的相關(guān)文檔,應(yīng)具有軟件使用指南或操作手冊(cè)
14、對(duì)程序資源庫(kù)的修改、更新、發(fā)布應(yīng)進(jìn)行授權(quán)和批準(zhǔn)
15、應(yīng)具有程序資源庫(kù)的修改、更新、發(fā)布文檔或記錄
16、軟件交付前應(yīng)依據(jù)開(kāi)發(fā)協(xié)議的技術(shù)指標(biāo)對(duì)軟件功能和性能等進(jìn)行驗(yàn)收檢測(cè)
17、軟件安裝之前應(yīng)檢測(cè)軟件中的惡意代碼(該軟件包的惡意代碼檢測(cè)報(bào)告),檢測(cè)工具是否是第三方的商業(yè)產(chǎn)品
18、應(yīng)具有軟件設(shè)計(jì)的相關(guān)文檔和使用指南
19、應(yīng)具有需求分析說(shuō)明書(shū)、軟件設(shè)計(jì)說(shuō)明書(shū)、軟件操作手冊(cè)等開(kāi)發(fā)文檔
20、應(yīng)指定專(zhuān)門(mén)部門(mén)或人員按照工程實(shí)施方案的要求對(duì)工程實(shí)施過(guò)程進(jìn)行進(jìn)度和質(zhì)量控制
21、應(yīng)具有工程實(shí)施過(guò)程應(yīng)按照實(shí)施方案形成各種文檔,如階段性工程進(jìn)程匯報(bào)報(bào)告,工程實(shí)施方案
22、在信息系統(tǒng)正式運(yùn)行前,應(yīng)委托第三方測(cè)試機(jī)構(gòu)根據(jù)設(shè)計(jì)方案或合同要求對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測(cè)試(第三方測(cè)試機(jī)構(gòu)出示的系統(tǒng)安全性測(cè)試驗(yàn)收?qǐng)?bào)告)
23、應(yīng)具有工程測(cè)試驗(yàn)收方案(測(cè)試驗(yàn)收方案與設(shè)計(jì)方案或合同要求內(nèi)容一致)
24、應(yīng)具有測(cè)試驗(yàn)收?qǐng)?bào)告
25、應(yīng)指定專(zhuān)門(mén)部門(mén)負(fù)責(zé)測(cè)試驗(yàn)收工作(具有對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定的意見(jiàn))
26、根據(jù)交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)(系統(tǒng)交付清單)
27、應(yīng)具有系統(tǒng)交付時(shí)的技術(shù)培訓(xùn)記錄
28、應(yīng)具有系統(tǒng)建設(shè)文檔(如系統(tǒng)建設(shè)方案)、指導(dǎo)用戶(hù)進(jìn)行系統(tǒng)運(yùn)維的文檔(如服務(wù)器操作規(guī)程書(shū))以及系統(tǒng)培訓(xùn)手冊(cè)等文檔。
29、應(yīng)指定部門(mén)負(fù)責(zé)系統(tǒng)交付工作
30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開(kāi)發(fā)商、系統(tǒng)集成商、系統(tǒng)運(yùn)維商和等級(jí)測(cè)評(píng)機(jī)構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議(文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容
31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)
32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書(shū)
六、系統(tǒng)運(yùn)維管理
1、應(yīng)指定專(zhuān)人或部門(mén)對(duì)機(jī)房的基本設(shè)施(如空調(diào)、供配電設(shè)備等)進(jìn)行定期維護(hù),由何部門(mén)/何人負(fù)責(zé)。
2、應(yīng)具有機(jī)房基礎(chǔ)設(shè)施的維護(hù)記錄,空調(diào)、溫濕度控制等機(jī)房設(shè)施定期維護(hù)保養(yǎng)的記錄
3、應(yīng)指定部門(mén)和人員負(fù)責(zé)機(jī)房安全管理工作
4、應(yīng)對(duì)辦公環(huán)境保密性進(jìn)行管理(工作人員離開(kāi)座位確保終端計(jì)算機(jī)退出登錄狀態(tài)、桌面上沒(méi)有包含敏感信息的紙檔文件)
5、應(yīng)具有資產(chǎn)清單(覆蓋資產(chǎn)責(zé)任人、所屬級(jí)別、所處位置、所處部門(mén)等方面)
6、應(yīng)指定資產(chǎn)管理的責(zé)任部門(mén)或人員
7、應(yīng)依據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)
8、介質(zhì)存放于何種環(huán)境中,應(yīng)對(duì)存放環(huán)境實(shí)施專(zhuān)人管理(介質(zhì)存放在安全的環(huán)境(防潮、防盜、防火、防磁,專(zhuān)用存儲(chǔ)空間))
9、應(yīng)具有介質(zhì)使用管理記錄,應(yīng)記錄介質(zhì)歸檔和使用等情況(介質(zhì)存放、使用管理記錄)
10、對(duì)介質(zhì)的物理傳輸過(guò)程應(yīng)要求選擇可靠傳輸人員、嚴(yán)格介質(zhì)的打包(如采用防拆包裝置)、選擇安全的物理傳輸途徑、雙方在場(chǎng)交付等環(huán)節(jié)的控制
11、應(yīng)對(duì)介質(zhì)的使用情況進(jìn)行登記管理,并定期盤(pán)點(diǎn)(介質(zhì)歸檔和查詢(xún)的記錄、存檔介質(zhì)定期盤(pán)點(diǎn)的記錄)
12、對(duì)送出維修或銷(xiāo)毀的介質(zhì)如何管理,銷(xiāo)毀前應(yīng)對(duì)數(shù)據(jù)進(jìn)行凈化處理。(對(duì)帶出工作環(huán)境的存儲(chǔ)介質(zhì)是否進(jìn)行內(nèi)容加密并有領(lǐng)導(dǎo)批準(zhǔn)。對(duì)保密性較高的介質(zhì)銷(xiāo)毀前是否有領(lǐng)導(dǎo)批準(zhǔn))(送修記錄、帶出記錄、銷(xiāo)毀記錄)
13、應(yīng)對(duì)某些重要介質(zhì)實(shí)行異地存儲(chǔ),異地存儲(chǔ)環(huán)境是否與本地環(huán)境相同(防潮、防盜、防火、防磁,專(zhuān)用存儲(chǔ)空間)
14、介質(zhì)上應(yīng)具有分類(lèi)的標(biāo)識(shí)或標(biāo)簽
15、應(yīng)對(duì)各類(lèi)設(shè)施、設(shè)備指定專(zhuān)人或?qū)iT(mén)部門(mén)進(jìn)行定期維護(hù)。
16、應(yīng)具有設(shè)備操作手冊(cè)
17、應(yīng)對(duì)帶離機(jī)房的信息處理設(shè)備經(jīng)過(guò)審批流程,由何人審批(審批記錄)
18、應(yīng)監(jiān)控主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的運(yùn)行狀況等
19、應(yīng)有相關(guān)網(wǎng)絡(luò)監(jiān)控系統(tǒng)或技術(shù)措施能夠?qū)νㄐ啪€(xiàn)路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶(hù)行為等進(jìn)行監(jiān)測(cè)和報(bào)警
20、應(yīng)具有日常運(yùn)維的監(jiān)控日志記錄和運(yùn)維交接日志記錄
21、應(yīng)定期對(duì)監(jiān)控記錄進(jìn)行分析、評(píng)審
22、應(yīng)具有異常現(xiàn)象的現(xiàn)場(chǎng)處理記錄和事后相關(guān)的分析報(bào)告
23、應(yīng)建立安全管理中心,對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等相關(guān)事項(xiàng)進(jìn)行集中管理
24、應(yīng)指定專(zhuān)人負(fù)責(zé)維護(hù)網(wǎng)絡(luò)安全管理工作
25、應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行過(guò)升級(jí),更新前應(yīng)對(duì)現(xiàn)有的重要文件是否進(jìn)行備份(網(wǎng)絡(luò)設(shè)備運(yùn)維維護(hù)工作記錄)
26、應(yīng)對(duì)網(wǎng)絡(luò)進(jìn)行過(guò)漏洞掃描,并對(duì)發(fā)現(xiàn)的漏洞進(jìn)行及時(shí)修補(bǔ)。
27、對(duì)設(shè)備的安全配置應(yīng)遵循最小服務(wù)原則,應(yīng)對(duì)配置文件進(jìn)行備份(具有網(wǎng)絡(luò)設(shè)備配置數(shù)據(jù)的離線(xiàn)備份)
28、系統(tǒng)網(wǎng)絡(luò)的外聯(lián)種類(lèi)(互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級(jí)部門(mén)網(wǎng)絡(luò)等)應(yīng)都得到授權(quán)與批準(zhǔn),由何人/何部門(mén)批準(zhǔn)。應(yīng)定期檢查違規(guī)聯(lián)網(wǎng)的行為。
29、對(duì)便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入應(yīng)進(jìn)行限制管理
30、應(yīng)具有內(nèi)部網(wǎng)絡(luò)外聯(lián)的授權(quán)批準(zhǔn)書(shū),應(yīng)具有網(wǎng)絡(luò)違規(guī)行為(如撥號(hào)上網(wǎng)等)的檢查手段和工具。
31、在安裝系統(tǒng)補(bǔ)丁程序前應(yīng)經(jīng)過(guò)測(cè)試,并對(duì)重要文件進(jìn)行備份。
32、應(yīng)有補(bǔ)丁測(cè)試記錄和系統(tǒng)補(bǔ)丁安裝操作記錄
33、應(yīng)對(duì)系統(tǒng)管理員用戶(hù)進(jìn)行分類(lèi)(比如:劃分不同的管理角色,系統(tǒng)管理權(quán)限與安全審計(jì)權(quán)限分離等)
34、審計(jì)員應(yīng)定期對(duì)系統(tǒng)審計(jì)日志進(jìn)行分析(有定期對(duì)系統(tǒng)運(yùn)行日志和審計(jì)數(shù)據(jù)的分析報(bào)告)
35、應(yīng)對(duì)員工進(jìn)行基本惡意代碼防范意識(shí)的教育,如告知應(yīng)及時(shí)升級(jí)軟件版本(對(duì)員工的惡意代碼防范教育的相關(guān)培訓(xùn)文檔)
36、應(yīng)指定專(zhuān)人對(duì)惡意代碼進(jìn)行檢測(cè),并保存記錄。
37、應(yīng)具有對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測(cè)的記錄
38、應(yīng)對(duì)惡意代碼庫(kù)的升級(jí)情況進(jìn)行記錄(代碼庫(kù)的升級(jí)記錄),對(duì)各類(lèi)防病毒產(chǎn)品上截獲的惡意代碼是否進(jìn)行分析并匯總上報(bào)。是否出現(xiàn)過(guò)大規(guī)模的病毒事件,如何處理
39、應(yīng)具有惡意代碼檢測(cè)記錄、惡意代碼庫(kù)升級(jí)記錄和分析報(bào)告 40、應(yīng)具有變更方案評(píng)審記錄和變更過(guò)程記錄文檔。
41、重要系統(tǒng)的變更申請(qǐng)書(shū),應(yīng)具有主管領(lǐng)導(dǎo)的批準(zhǔn)
42、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員和網(wǎng)絡(luò)管理員應(yīng)識(shí)別需定期備份的業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)(備份文件記錄)
43、應(yīng)定期執(zhí)行恢復(fù)程序,檢查和測(cè)試備份介質(zhì)的有效性
44、應(yīng)有系統(tǒng)運(yùn)維過(guò)程中發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件對(duì)應(yīng)的報(bào)告或相關(guān)文檔
45、應(yīng)對(duì)安全事件記錄分析文檔
46、應(yīng)具有不同事件的應(yīng)急預(yù)案
47、應(yīng)具有應(yīng)急響應(yīng)小組,應(yīng)具備應(yīng)急設(shè)備并能正常工作,應(yīng)急預(yù)案執(zhí)行所需資金應(yīng)做過(guò)預(yù)算并能夠落實(shí)。
48、應(yīng)對(duì)系統(tǒng)相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)(應(yīng)急預(yù)案培訓(xùn)記錄)
49、應(yīng)定期對(duì)應(yīng)急預(yù)案進(jìn)行演練(應(yīng)急預(yù)案演練記錄)50、應(yīng)對(duì)應(yīng)急預(yù)案定期進(jìn)行審查并更新
51、應(yīng)具有更新的應(yīng)急預(yù)案記錄、應(yīng)急預(yù)案審查記錄。
第三篇:信息安全等級(jí)保護(hù)工作計(jì)劃
篇一:信息安全等級(jí)保護(hù)工作實(shí)施方案 白魯?shù)A九年制學(xué)校
信息安全等級(jí)保護(hù)工作實(shí)施方案
為加強(qiáng)信息安全等級(jí)保護(hù),規(guī)范信息安全等級(jí)保護(hù)管理,提高信息安全保障能力和水平,維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益,保障和促進(jìn)我校信息化建設(shè)。根據(jù)商教發(fā)【2011】321號(hào)文件精神,結(jié)合我校實(shí)際,制訂本實(shí)施方案。
一、指導(dǎo)思想
以科學(xué)發(fā)展觀為指導(dǎo),以黨的十七大、十七屆五中全會(huì)精神為指針,深入貫徹執(zhí)行《信息安全等級(jí)保護(hù)管理辦法》等文件精神,全面推進(jìn)信息安全等級(jí)保護(hù)工作,維護(hù)我校基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全穩(wěn)定運(yùn)行。
二、定級(jí)范圍
學(xué)校管理、辦公系統(tǒng)、教育教學(xué)系統(tǒng)、財(cái)務(wù)管理等重要信息系統(tǒng)以及其他重要信息系統(tǒng)。
三、組織領(lǐng)導(dǎo)
(一)工作分工。定級(jí)工作由電教組牽頭,會(huì)同學(xué)校辦公室、安全保衛(wèi)處等共同組織實(shí)施。學(xué)校辦公室負(fù)責(zé)定級(jí)工作的部門(mén)間協(xié)調(diào)。安全保衛(wèi)處負(fù)責(zé)定級(jí)工作的監(jiān)督。
電教組負(fù)責(zé)定級(jí)工作的檢查、指導(dǎo)、評(píng)審。
各部門(mén)依據(jù)《信息安全等級(jí)保護(hù)管理辦法》和本方案要求,開(kāi)展信息系統(tǒng)自評(píng)工作。
(二)協(xié)調(diào)領(lǐng)導(dǎo)機(jī)制。
1、成立領(lǐng)導(dǎo)小組,校長(zhǎng)任組長(zhǎng),副校長(zhǎng)任副組長(zhǎng)、各部門(mén)負(fù)責(zé)人為成員,負(fù)責(zé)我校信息安全等級(jí)保護(hù)工作的領(lǐng)導(dǎo)、協(xié)調(diào)工作。督促各部門(mén)按照總體方案落實(shí)工作任務(wù)和責(zé)任,對(duì)等級(jí)保護(hù)工作整體推進(jìn)情況進(jìn)行檢查監(jiān)督,指導(dǎo)安全保密方案制定。
2、成立由電教組牽頭的工作機(jī)構(gòu),主要職責(zé):在領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下,切實(shí)抓好我校定級(jí)保護(hù)工作的日常工作。做好組織各信息系統(tǒng)運(yùn)營(yíng)使用部門(mén)參加信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)相關(guān)會(huì)議;組織開(kāi)展政策和技術(shù)培訓(xùn),掌握定級(jí)工作規(guī)范和技術(shù)要求,為定級(jí)工作打好基礎(chǔ);全面掌握學(xué)校各部門(mén)定級(jí)保護(hù)工作的進(jìn)展情況和存在的問(wèn)題,對(duì)存在的問(wèn)題及時(shí)協(xié)調(diào)解決,形成定級(jí)工作總結(jié)并按時(shí)上報(bào)領(lǐng)導(dǎo)小組。
3、成立由赴省參加過(guò)計(jì)算機(jī)培訓(xùn)的教師組成的評(píng)審組,主要負(fù)責(zé):一是為我校信息與網(wǎng)絡(luò)安全提供技術(shù)支持與服務(wù)咨詢(xún);二是參與信息安全等級(jí)保護(hù)定級(jí)評(píng)審工作;三是參與重要信息與網(wǎng)絡(luò)安全突發(fā)公共事件的分析研判和為領(lǐng)導(dǎo)決策提供依據(jù)。
四、主要內(nèi)容、工作步驟
(一)開(kāi)展信息系統(tǒng)基本情況的摸底調(diào)查。各部門(mén)要組織開(kāi)展對(duì)所屬信息系統(tǒng)的摸底調(diào)查,全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務(wù)類(lèi)型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)等基本情況,按照《信息安全等級(jí)保護(hù)管理辦法》和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》的要求,確定定級(jí)對(duì)象。
(二)初步確定安全保護(hù)等級(jí)。各使用部門(mén)要按照《信息安全等級(jí)保護(hù)管理辦法》和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》,初步確定定級(jí)對(duì)象的安全保護(hù)等級(jí),起草定級(jí)報(bào)告。涉密信息系統(tǒng)的等級(jí)確定按照國(guó)家保密局的有關(guān)規(guī)定和標(biāo)準(zhǔn)執(zhí)行。
(三)評(píng)審。初步確定信息系統(tǒng)安全保護(hù)等級(jí)后,上報(bào)學(xué)校信息系統(tǒng)安全等級(jí)保護(hù)評(píng)審組進(jìn)行評(píng)審。
(四)備案。根據(jù)《信息安全等級(jí)保護(hù)管理辦法》,信息系統(tǒng)安全保護(hù)等級(jí)為第二級(jí)以上的信息系統(tǒng)統(tǒng)一由電教組負(fù)責(zé)備案工作。
五、定級(jí)工作要求
(一)加強(qiáng)領(lǐng)導(dǎo),落實(shí)保障。各部門(mén)要落實(shí)責(zé)任,并于12月15日前將《信息系統(tǒng)安全等級(jí)保護(hù)備案表》、《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告》上報(bào)九年制學(xué)校。
(二)加強(qiáng)培訓(xùn),嚴(yán)格定級(jí)。為切實(shí)落實(shí)評(píng)審工作,保證定級(jí)準(zhǔn)確,備案及時(shí),全面提高我校基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全保護(hù)能力和水平,保證定級(jí)工作順利進(jìn)行,各部門(mén)要認(rèn)真學(xué)習(xí)《信息安全等級(jí)保護(hù)管理辦法》、《文保處教育系統(tǒng)單位信息分級(jí)培訓(xùn)材料》、《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南(國(guó)標(biāo))》、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求(報(bào)批)》、《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南(報(bào)批)》等材料。
(三)積極配合、認(rèn)真整改。各部門(mén)要認(rèn)真按照評(píng)級(jí)要求,組織開(kāi)展等級(jí)保護(hù)工作,切實(shí)做好重要信息系統(tǒng)的安全等級(jí)保護(hù)。
(四)自查自糾、完善制度。此次定級(jí)工作完成后,請(qǐng)各部門(mén)按照《信息安全等級(jí)保護(hù)管理辦法》和有關(guān)技術(shù)標(biāo)準(zhǔn),依據(jù)系統(tǒng)所定保護(hù)等級(jí)的要求,定期對(duì)信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實(shí)情況進(jìn)行自查,并不斷完善安全管理制度,今后,若信息系統(tǒng)備案資料發(fā)生變化,應(yīng)及時(shí)進(jìn)行變更備案篇二:醫(yī)院信息系統(tǒng)安全等級(jí)保護(hù)工作實(shí)施方案 醫(yī)院信息系統(tǒng)安全等級(jí) 保護(hù)工作實(shí)施方案
醫(yī)院信息系統(tǒng)是醫(yī)療服務(wù)的重要支撐體系。為確保我院信息系統(tǒng)安全可靠運(yùn)行,根據(jù)公安部等四部、局、辦印發(fā)的《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》公通字【2004】66號(hào)、《衛(wèi)生部辦公廳關(guān)于全面開(kāi)展衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的通知》衛(wèi)辦綜函【2011】1126號(hào)、衛(wèi)生部關(guān)于印發(fā)《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)》的通知 衛(wèi)辦發(fā)【2011】85號(hào)和省市有關(guān)文件精神,并結(jié)合我院信息化建設(shè)的工作實(shí)際,特制定《德江縣民族中醫(yī)院信息系統(tǒng)安全等級(jí)保護(hù)工作實(shí)施方案》確保我院信息系統(tǒng)安全。
一、組織領(lǐng)導(dǎo) 組 長(zhǎng): 副組長(zhǎng): 組 員:
領(lǐng)導(dǎo)小組辦公室設(shè)在xx科,由xx同志兼任主任,xx等同志負(fù)責(zé)具體工作。
二、工作任務(wù)
1、做好系統(tǒng)定級(jí)工作。定級(jí)系統(tǒng)包括基礎(chǔ)支撐系統(tǒng),面向患者服務(wù)信息系統(tǒng),內(nèi)部行政管理信息系統(tǒng)、網(wǎng)絡(luò)直報(bào)系統(tǒng)及門(mén)戶(hù)網(wǎng)站,定級(jí)方法由市衛(wèi)生局統(tǒng)一與市公安局等信息安全相關(guān)部門(mén)協(xié)商。
2、做好系統(tǒng)備案工作。按照市衛(wèi)生系統(tǒng)信息安全等級(jí)保護(hù)劃分定級(jí)要求,對(duì)信息系統(tǒng)進(jìn)行定級(jí)后,將本單位《信息系統(tǒng)安全等級(jí)保護(hù)備案表》《信息系統(tǒng)定級(jí)報(bào)告》和備案電子數(shù)據(jù)報(bào)衛(wèi)生局,由衛(wèi)生局報(bào)屬地公安機(jī)關(guān)辦理備案手續(xù)。
3、做好系統(tǒng)等級(jí)測(cè)評(píng)工作。完成定級(jí)備案后,選擇市衛(wèi)生局推薦的等級(jí)測(cè)評(píng)機(jī)構(gòu),對(duì)已確定安全保護(hù)等級(jí)信息系統(tǒng),按照國(guó)家信息安全等級(jí)保護(hù)工作規(guī)范和《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等國(guó)家標(biāo)準(zhǔn)開(kāi)展等級(jí)測(cè)評(píng),信息系統(tǒng)測(cè)評(píng)后,及時(shí)將測(cè)評(píng)機(jī)構(gòu)出具的《信息系統(tǒng)等級(jí)測(cè)評(píng)報(bào)告》向?qū)俚毓矙C(jī)關(guān)報(bào)備。
4、完善等級(jí)保護(hù)體系建設(shè)做好整改工作。按照測(cè)評(píng)報(bào)告評(píng)測(cè)結(jié)果,對(duì)照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(gb/t22239-2008)等有關(guān)標(biāo)準(zhǔn),結(jié)合醫(yī)院工作實(shí)際,組織開(kāi)展等級(jí)保護(hù)安全建設(shè)整改工作,具體要求如下:
三、工作要求
1、建立安全管理組織機(jī)構(gòu)。成立信息安全工作組,網(wǎng)絡(luò)辦負(fù)責(zé)人為安全責(zé)任人,擬定實(shí)施醫(yī)院信息系統(tǒng)安全等級(jí)保護(hù)的具體方案,并制定相應(yīng)的崗位責(zé)任制,確保信息安全等級(jí)保護(hù)工作順利實(shí)施。
2、建立健全信息系統(tǒng)安全管理制度。根據(jù)信息安全等級(jí)保護(hù)的要求,制定各項(xiàng)信息系統(tǒng)安全管理制度,對(duì)安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程和執(zhí)行記錄文檔。
3、制定保障醫(yī)療活動(dòng)不中斷的應(yīng)急預(yù)案。應(yīng)急預(yù)案是安全等級(jí)保護(hù)的重要組成部分,按可能出現(xiàn)問(wèn)題的不同情形制定相應(yīng)的應(yīng)急措施,在系統(tǒng)出現(xiàn)故障和意外且無(wú)法短時(shí)間恢復(fù)的情況下能確保醫(yī)療活動(dòng)持續(xù)進(jìn)行。
4、嚴(yán)格執(zhí)行安全事故報(bào)告和處置管理制度。醫(yī)院信息系統(tǒng)所有使用或管理人員均有責(zé)任發(fā)現(xiàn)和報(bào)告信息安全可疑事件,應(yīng)視情況及時(shí)以口頭或書(shū)面的形式報(bào)告院網(wǎng)絡(luò)辦。對(duì)重大信息網(wǎng)絡(luò)安全事件、安全事故和計(jì)算機(jī)違法犯罪案件,應(yīng)在24小時(shí)內(nèi)向公安機(jī)關(guān)報(bào)告,并保護(hù)好現(xiàn)場(chǎng)。篇三:2013年信息安全等級(jí)保護(hù)工作匯報(bào) 2013年信息安全等級(jí)保護(hù)工作匯報(bào)
一、加強(qiáng)領(lǐng)導(dǎo)
二、完善制度
為貫徹落實(shí)全市加強(qiáng)和改進(jìn)互聯(lián)網(wǎng)建設(shè)與管理工作會(huì)議和市委辦公室、市政府辦公室《揚(yáng)州市深入推進(jìn)信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》(揚(yáng)辦發(fā)[2012]57號(hào))文件精神,對(duì)集團(tuán)信息系統(tǒng)安全等級(jí)保護(hù)工作做出了具體的要求,根據(jù)等級(jí)保護(hù)要求,開(kāi)展了信息安全制度的前期完善工作。陸續(xù)制定了“增加揚(yáng)州網(wǎng)一些網(wǎng)站新聞發(fā)布審核的制度”、《外部人員訪(fǎng)問(wèn)機(jī)房審批管理制度》、《中心機(jī)房管理辦法》、《機(jī)房消防安全管理制度》等制度。
三、信息等級(jí)安全保護(hù)基本情況
目前,集團(tuán)已有揚(yáng)州網(wǎng)、揚(yáng)州晚報(bào)網(wǎng)、揚(yáng)州汽車(chē)網(wǎng)、藝術(shù)在線(xiàn)網(wǎng)和多個(gè)內(nèi)部信息系統(tǒng)根據(jù)等級(jí)保護(hù)的要求進(jìn)行了整改優(yōu)化,積極加強(qiáng)信息系統(tǒng)安全環(huán)境建設(shè),消除安全管理中的薄弱環(huán)節(jié)。在物理安全方面,機(jī)房安裝門(mén)禁系統(tǒng),嚴(yán)格管理機(jī)房人員進(jìn)出,消防設(shè)施完善,所有設(shè)備通過(guò)ups供電。關(guān)鍵網(wǎng)絡(luò)設(shè)備和服務(wù)器做到有主有備,確保在發(fā)生物理故障時(shí)可以及時(shí)更換。
在網(wǎng)絡(luò)安全方面,我們嚴(yán)格按照內(nèi)、外網(wǎng)物理隔離的標(biāo)準(zhǔn)建設(shè)網(wǎng)絡(luò)系統(tǒng),并采用虛擬局域網(wǎng)技術(shù),通過(guò)交換機(jī)端口的ip綁定,防止非法網(wǎng)絡(luò)接入;在網(wǎng)絡(luò)出口以及不同網(wǎng)絡(luò)互聯(lián)邊界全面部署硬件防火墻,部署日志服務(wù)器,記錄并留存使用互聯(lián)網(wǎng)和內(nèi)部網(wǎng)絡(luò)地址對(duì)應(yīng)關(guān)系; 在集團(tuán)互聯(lián)網(wǎng)出口部署網(wǎng)絡(luò)行為管理系統(tǒng),規(guī)范和記錄上網(wǎng)行為,合理控制不同應(yīng)用的網(wǎng)絡(luò)流量,實(shí)現(xiàn)網(wǎng)絡(luò)帶寬動(dòng)態(tài)分配,保障了信息系統(tǒng)正常應(yīng)用的網(wǎng)絡(luò)環(huán)境。
在主機(jī)安全方面,終端計(jì)算機(jī)采用雙硬盤(pán)及物理隔離互聯(lián)網(wǎng)及內(nèi)網(wǎng)應(yīng)用,通過(guò)部署趨勢(shì)網(wǎng)絡(luò)防毒墻網(wǎng)絡(luò)版,安裝聯(lián)軟安全管理軟件保障客戶(hù)機(jī)系統(tǒng)安全,并且做到漏洞補(bǔ)丁及時(shí)更新,重要的應(yīng)用系統(tǒng)安裝了計(jì)算機(jī)監(jiān)控與審計(jì)系統(tǒng),實(shí)現(xiàn)對(duì)主機(jī)的usb等外設(shè)接口的控制管理,采用key用戶(hù)名密碼等方式控制用戶(hù)登陸行為。
對(duì)于應(yīng)用安全,嚴(yán)格做好系統(tǒng)安全測(cè)試,配備了專(zhuān)門(mén)的漏洞 掃描儀定期掃描應(yīng)用系統(tǒng)漏洞,并按測(cè)試結(jié)果做好安全修復(fù)和加固工作;在網(wǎng)站區(qū),部屬入侵防御系統(tǒng),監(jiān)測(cè)、記錄安全事件,及時(shí)阻斷入侵行為,自部署起已多次成功檢測(cè)出sql注入,ftp匿名登錄,網(wǎng)站目錄遍歷,探測(cè)主機(jī)地址漏洞等。
在數(shù)據(jù)安全方面,數(shù)據(jù)庫(kù)通過(guò)備份系統(tǒng)定期備份,關(guān)鍵數(shù)據(jù)庫(kù)服務(wù)器采用雙機(jī)熱備份,保證數(shù)據(jù)庫(kù)服務(wù)器的可用性和高效性,在出現(xiàn)故障時(shí)可以快速恢復(fù);數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)按不同用戶(hù)身份進(jìn)行嚴(yán)格的權(quán)限控制。
四、建議
信息系統(tǒng)安全等級(jí)保護(hù)工作責(zé)任重大,技術(shù)性強(qiáng),工作量巨大,集團(tuán)在該項(xiàng)工作上雖然取得一些進(jìn)展,但是與市里要求還有相當(dāng)?shù)牟罹啵诘燃?jí)保護(hù)意識(shí)、宣傳力度、技術(shù)人才的培養(yǎng)和制度的建立上仍然存在問(wèn)題。
建議市里加強(qiáng)工作指導(dǎo),通過(guò)多種方式的等級(jí)保護(hù)技術(shù)交流和培訓(xùn),提高單位領(lǐng)導(dǎo)及員工的等級(jí)保護(hù)意識(shí),進(jìn)一步推進(jìn)集團(tuán)的信息系統(tǒng)等級(jí)保護(hù)工作。
第四篇:淺談信息安全等級(jí)保護(hù)問(wèn)題
淺談信息安全等級(jí)保護(hù)問(wèn)題 當(dāng)今,我國(guó)關(guān)于實(shí)現(xiàn)信息安全的一項(xiàng)重要的舉措就是信息系統(tǒng)安全等級(jí)保護(hù)。嚴(yán)格按照等級(jí)保護(hù)的規(guī)定,建設(shè)安全的信息系統(tǒng)成為了目前面臨的主要問(wèn)題。本文主要介紹了信息安全等級(jí)的劃分以及如何對(duì)具體的信息系統(tǒng)實(shí)施安全等級(jí)保護(hù)措施的方法。
隨著現(xiàn)在高科技的快速發(fā)展以及當(dāng)前社會(huì)對(duì)信息系統(tǒng)需求的不斷增加,信息系統(tǒng)的規(guī)模也在日益擴(kuò)大,它的諸多應(yīng)用都給社會(huì)創(chuàng)造了巨大的財(cái)富,與此同時(shí),信息系統(tǒng)也成為了威脅、攻擊以及破壞的對(duì)象。由于信息在網(wǎng)絡(luò)上的存儲(chǔ)、傳輸和共享等過(guò)程的非法利用,導(dǎo)致目前如何確保信息系統(tǒng)的安全性就成為了我們現(xiàn)階段亟待解決的重點(diǎn)問(wèn)題。當(dāng)前,我們正在有計(jì)劃的開(kāi)展信息安全等級(jí)保護(hù)制度實(shí)施工作。為了確保計(jì)算機(jī)信息系統(tǒng)的安全,一定要系統(tǒng)地、深入地研究和學(xué)習(xí)信息系統(tǒng)安全技術(shù)和等級(jí)保護(hù)方法。
1、信息安全等級(jí)保護(hù)
2003年,中辦、國(guó)辦轉(zhuǎn)發(fā) 國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》(中辦發(fā)[2003327號(hào)),提出實(shí)行信息安全等級(jí)保護(hù),建立國(guó)家信息安全保障體系的明確要求。信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度,信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。
信息系統(tǒng)的安全保護(hù)等級(jí)分為五級(jí):第一級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害,但不損害國(guó)家安全、社會(huì)秩序和公共利益。該級(jí)別是用戶(hù)自主保護(hù)級(jí)。完全由用戶(hù)自己來(lái)決定如何對(duì)資源進(jìn)行保護(hù),以及采用何種方式進(jìn)行保護(hù)。第二級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對(duì)社會(huì)秩序和公共利益造成損害,但不損害國(guó)家安全。該級(jí)別是系統(tǒng)審計(jì)保護(hù)級(jí)。第三級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害,或者對(duì)國(guó)家安全造成損害。該級(jí)別是安全標(biāo)記保護(hù)級(jí)。除具有第二級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)的所有功能外,它還要求對(duì)訪(fǎng)問(wèn)者和訪(fǎng)問(wèn)對(duì)象實(shí)施強(qiáng)制訪(fǎng)問(wèn)控制,并能夠進(jìn)行記錄,以便事后的監(jiān)督 審計(jì)。第四級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。該級(jí)別是結(jié)構(gòu)化保護(hù)級(jí)。
第五級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。該級(jí)別是訪(fǎng)問(wèn)驗(yàn)證保護(hù)級(jí)。這一個(gè)級(jí)別除了具備前四級(jí)的所有功能外還特別增設(shè)了訪(fǎng)問(wèn)驗(yàn)證功能,負(fù)責(zé)管理訪(fǎng)問(wèn)者對(duì)訪(fǎng)問(wèn)對(duì)象的所有訪(fǎng)問(wèn)活動(dòng),管理訪(fǎng)問(wèn)者能否訪(fǎng)問(wèn)某些對(duì)象從而對(duì)訪(fǎng)問(wèn)對(duì)象實(shí)行專(zhuān)控,保護(hù)信息不能被非授權(quán)獲取。
2、信息安全等級(jí)劃分
2.1按相關(guān)政策規(guī)定劃分安全保護(hù)等級(jí)
對(duì)于我國(guó)中央和國(guó)家各級(jí)機(jī)關(guān)、國(guó)家重點(diǎn)科研部門(mén)機(jī)構(gòu)、國(guó)防建設(shè)部門(mén)等需要對(duì)信息系統(tǒng)施行特殊隔離和保護(hù)的單位機(jī)關(guān),均應(yīng)按照相關(guān)政策、相關(guān)法律法規(guī),實(shí)施安全等級(jí)保護(hù)。
2.2按照保護(hù)數(shù)據(jù)的價(jià)值劃分保護(hù)等級(jí)
不同類(lèi)別的數(shù)據(jù)信息需要實(shí)施不同安全等級(jí)的保護(hù),這樣不僅能使信息系統(tǒng)中的數(shù)據(jù)信息的安全得到應(yīng)有的保證,而且又能縮減一部分不必要的開(kāi)銷(xiāo)。
3、信息安全等級(jí)保護(hù)具體方法
信息系統(tǒng)安全等級(jí)劃分的最優(yōu)的選擇是全方位劃分等級(jí),其最基本的思想為重點(diǎn)保護(hù)和適度保護(hù)。在此基礎(chǔ)上,投入合理的安全投入,運(yùn)用以下兩點(diǎn)信息安全等級(jí)保護(hù)方法,努力使信息系統(tǒng)得到應(yīng)有的安全保護(hù)。
3.1全系統(tǒng)的同一安全等級(jí)的安全保護(hù)
全系統(tǒng)同一安全等級(jí)安全保護(hù):在一個(gè)需要進(jìn)行安全等級(jí)保護(hù)的信息系統(tǒng)中,在組成系統(tǒng)的任何部分,所存儲(chǔ)、傳輸和處理的全部數(shù)據(jù)信息,都需進(jìn)行相同的安全保護(hù)等級(jí)的保護(hù)措施。
當(dāng)有這樣要求,規(guī)定所要保護(hù)的數(shù)據(jù)信息,不管處于系統(tǒng)中任何位置,進(jìn)行任何形式的數(shù)據(jù)處理都需采取相同安全保護(hù)等級(jí)是,都應(yīng)嚴(yán)格按照全系統(tǒng)同一安全等級(jí)安全保護(hù)方法開(kāi)展系統(tǒng)安全性設(shè)計(jì),設(shè)計(jì)出要求所需的安全機(jī)制。
3.2分系統(tǒng)不同安全等級(jí)安全保護(hù)
所謂分系統(tǒng)不同安全等級(jí)安全保護(hù):在一個(gè)需要進(jìn)行安全等級(jí)保護(hù)的計(jì)算機(jī)信息系統(tǒng)中,其中所存儲(chǔ)、傳輸和處理的全部數(shù)據(jù)信息,應(yīng)該按照信息在組成計(jì)算機(jī)信息系統(tǒng)的每個(gè)分系統(tǒng)中的不同保護(hù)要求的原則,對(duì)其實(shí)施不同安全保護(hù)等級(jí)的安全保護(hù)。
3.3虛擬系統(tǒng)不同安全等級(jí)安全保護(hù)
絡(luò)信息安全進(jìn)行控制。具體的實(shí)施措施可以使用路由器對(duì)外界進(jìn)行控制,將路由器作為網(wǎng)關(guān)的局域網(wǎng)上的諸?~llnternet等網(wǎng)絡(luò)服務(wù)的信息流量,也可以通過(guò)對(duì)系統(tǒng)文件權(quán)限的設(shè)置來(lái)確認(rèn)訪(fǎng)問(wèn)是否合法,以此來(lái)保證計(jì)算機(jī)網(wǎng)絡(luò)信息的安全。
3.4計(jì)算機(jī)網(wǎng)絡(luò)病毒的防范技術(shù)
計(jì)算機(jī)病毒是威脅計(jì)算機(jī)網(wǎng)絡(luò)安全的重大因素,因此應(yīng)該對(duì)常見(jiàn)的計(jì)算機(jī)病毒知識(shí)進(jìn)行熟練地掌握,對(duì)其基本的防治技術(shù)手段有一定的了解,能夠在發(fā)現(xiàn)病毒的第一時(shí)間里對(duì)其進(jìn)行及時(shí)的處理,將危害降到最低。對(duì)于計(jì)算機(jī)病毒的防范可以采用以下一些技術(shù)手段,可以通過(guò)加密執(zhí)行程序,引導(dǎo)區(qū)保護(hù)、系統(tǒng)監(jiān)控和讀寫(xiě)控制等手段,對(duì)系統(tǒng)中是否有病毒進(jìn)行監(jiān)督判斷,進(jìn)而阻止病毒侵人計(jì)算機(jī)系統(tǒng)。
3.5漏洞掃描及修復(fù)技術(shù)
計(jì)算機(jī)系統(tǒng)中的漏洞是計(jì)算機(jī)網(wǎng)絡(luò)安全中存在的極大隱患,因此,要定期對(duì)計(jì)算機(jī)進(jìn)行全方位的系統(tǒng)漏洞掃描,以確認(rèn)當(dāng)前的計(jì)算機(jī)系統(tǒng)中是否存在著系統(tǒng)漏洞。一旦發(fā)現(xiàn)計(jì)算機(jī)中存在系統(tǒng)漏洞,要及時(shí)的對(duì)其進(jìn)行修復(fù),避免被黑客等不放法子利用。漏洞的修復(fù)分兩種,有的漏洞系統(tǒng)自身可以進(jìn)行恢復(fù),而有一部分漏洞則需要手動(dòng)進(jìn)行修復(fù)。
4、結(jié)語(yǔ)
在當(dāng)前通信與信息產(chǎn)業(yè)高速發(fā)展的形勢(shì)下,計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的研究與應(yīng)用也應(yīng)該與時(shí)俱進(jìn),不斷地研究探討更加優(yōu)化的計(jì)算機(jī)網(wǎng)絡(luò)防范技術(shù),將其應(yīng)用到計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行中,減少計(jì)算機(jī)網(wǎng)絡(luò)使用的安全風(fēng)險(xiǎn)。實(shí)現(xiàn)安全的進(jìn)行信息交流,資源共享的目的,使計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)更好的為人們的生活工作服務(wù)。
第五篇:信息安全等級(jí)保護(hù)(二級(jí))
信息安全等級(jí)保護(hù)(二級(jí))
備注:其中黑色字體為信息安全等級(jí)保護(hù)第二級(jí)系統(tǒng)要求,藍(lán)色字體為第三級(jí)系統(tǒng)等保要求。
一、物理安全
1、應(yīng)具有機(jī)房和辦公場(chǎng)地的設(shè)計(jì)/驗(yàn)收文檔(機(jī)房場(chǎng)地的選址說(shuō)明、地線(xiàn)連接要求的描述、建筑材料具有相應(yīng)的耐火等級(jí)說(shuō)明、接地防靜電措施)
2、應(yīng)具有有來(lái)訪(fǎng)人員進(jìn)入機(jī)房的申請(qǐng)、審批記錄;來(lái)訪(fǎng)人員進(jìn)入機(jī)房的登記記錄
3、應(yīng)配置電子門(mén)禁系統(tǒng)(三級(jí)明確要求);電子門(mén)禁系統(tǒng)有驗(yàn)收文檔或產(chǎn)品安全認(rèn)證資質(zhì),電子門(mén)禁系統(tǒng)運(yùn)行和維護(hù)記錄
4、主要設(shè)備或設(shè)備的主要部件上應(yīng)設(shè)置明顯的不易除去的標(biāo)記
5、介質(zhì)有分類(lèi)標(biāo)識(shí);介質(zhì)分類(lèi)存放在介質(zhì)庫(kù)或檔案室內(nèi),磁介質(zhì)、紙介質(zhì)等分類(lèi)存放
6、應(yīng)具有攝像、傳感等監(jiān)控報(bào)警系統(tǒng);機(jī)房防盜報(bào)警設(shè)施的安全資質(zhì)材料、安裝測(cè)試和驗(yàn)收?qǐng)?bào)告;機(jī)房防盜報(bào)警系統(tǒng)的運(yùn)行記錄、定期檢查和維護(hù)記錄;
7、應(yīng)具有機(jī)房監(jiān)控報(bào)警設(shè)施的安全資質(zhì)材料、安裝測(cè)試和驗(yàn)收?qǐng)?bào)告;機(jī)房監(jiān)控報(bào)警系統(tǒng)的運(yùn)行記錄、定期檢查和維護(hù)記錄
8、應(yīng)具有機(jī)房建筑的避雷裝置;通過(guò)驗(yàn)收或國(guó)家有關(guān)部門(mén)的技術(shù)檢測(cè);
9、應(yīng)在電源和信號(hào)線(xiàn)上增加有資質(zhì)的防雷保安器;具有防雷檢測(cè)資質(zhì)的檢測(cè)部門(mén)對(duì)防雷裝置的檢測(cè)報(bào)告
10、應(yīng)具有自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警、自動(dòng)滅火的自動(dòng)消防系統(tǒng);自動(dòng)消防系統(tǒng)的運(yùn)行記錄、檢查和定期維護(hù)記錄;消防產(chǎn)品有效期合格;自動(dòng)消防系統(tǒng)是經(jīng)消防檢測(cè)部門(mén)檢測(cè)合格的產(chǎn)品
11、應(yīng)具有除濕裝置;空調(diào)機(jī)和加濕器;溫濕度定期檢查和維護(hù)記錄
12、應(yīng)具有水敏感的檢測(cè)儀表或元件;對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警;防水檢測(cè)裝置的運(yùn)行記錄、定期檢查和維護(hù)記錄
13、應(yīng)具有溫濕度自動(dòng)調(diào)節(jié)設(shè)施;溫濕度自動(dòng)調(diào)節(jié)設(shè)施的運(yùn)行記錄、定期檢查和維護(hù)記錄
14、應(yīng)具有短期備用電力供應(yīng)設(shè)備(如UPS);短期備用電力供應(yīng)設(shè)備的運(yùn)行記錄、定期檢查和維護(hù)記錄
15、應(yīng)具有冗余或并行的電力電纜線(xiàn)路(如雙路供電方式)
16、應(yīng)具有備用供電系統(tǒng)(如備用發(fā)電機(jī));備用供電系統(tǒng)運(yùn)行記錄、定期檢查和維護(hù)記錄
二、安全管理制度
1、應(yīng)具有對(duì)重要管理操作的操作規(guī)程,如系統(tǒng)維護(hù)手冊(cè)和用戶(hù)操作規(guī)程
2、應(yīng)具有安全管理制度的制定程序:
3、應(yīng)具有專(zhuān)門(mén)的部門(mén)或人員負(fù)責(zé)安全管理制度的制定(發(fā)布制度具有統(tǒng)一的格式,并進(jìn)行版本控制)
4、應(yīng)對(duì)制定的安全管理制度進(jìn)行論證和審定,論證和審定方式如何(如召開(kāi)評(píng)審會(huì)、函審、內(nèi)部審核等),應(yīng)具有管理制度評(píng)審記錄
5、應(yīng)具有安全管理制度的收發(fā)登記記錄,收發(fā)應(yīng)通過(guò)正式、有效的方式(如正式發(fā)文、領(lǐng)導(dǎo)簽署和單位蓋章等)----安全管理制度應(yīng)注明發(fā)布范圍,并對(duì)收發(fā)文進(jìn)行登記。
6、信息安全領(lǐng)導(dǎo)小組定期對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定,審定周期多長(zhǎng)。(安全管理制度體系的評(píng)審記錄)
7、系統(tǒng)發(fā)生重大安全事故、出現(xiàn)新的安全漏洞以及技術(shù)基礎(chǔ)結(jié)構(gòu)和組織結(jié)構(gòu)等發(fā)生變更時(shí)應(yīng)對(duì)安全管理制度進(jìn)行檢查,對(duì)需要改進(jìn)的制度進(jìn)行修訂。(應(yīng)具有安全管理制度修訂記錄)
三、安全管理機(jī)構(gòu)
1、應(yīng)設(shè)立信息安全管理工作的職能部門(mén)
2、應(yīng)設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人
3、應(yīng)設(shè)立機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位(分工明確,各司其職),數(shù)量情況(管理人員名單、崗位與人員對(duì)應(yīng)關(guān)系表)
4、安全管理員應(yīng)是專(zhuān)職人員
5、關(guān)鍵事物需要配備2人或2人以上共同管理,人員具體配備情況如何。
6、應(yīng)設(shè)立指導(dǎo)和管理信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組(最高領(lǐng)導(dǎo)是否由單位主管領(lǐng)導(dǎo)委任或授權(quán)的人員擔(dān)任)
7、應(yīng)對(duì)重要信息系統(tǒng)活動(dòng)進(jìn)行審批(如系統(tǒng)變更、重要操作、物理訪(fǎng)問(wèn)和系統(tǒng)接入、重要管理制度的制定和發(fā)布、人員的配備和培訓(xùn)、產(chǎn)品的采購(gòu)、外部人員的訪(fǎng)問(wèn)等),審批部門(mén)是何部門(mén),審批人是何人。審批程序:
8、應(yīng)與其它部門(mén)之間及內(nèi)部各部門(mén)管理人員定期進(jìn)行溝通(信息安全領(lǐng)導(dǎo)小組或者安全管理委員會(huì)應(yīng)定期召開(kāi)會(huì)議)
9、應(yīng)組織內(nèi)部機(jī)構(gòu)之間以及信息安全職能部門(mén)內(nèi)部的安全工作會(huì)議文件或會(huì)議記錄,定期:
10、信息安全管理委員會(huì)或領(lǐng)導(dǎo)小組安全管理工作執(zhí)行情況的文件或工作記錄(如會(huì)議記錄/紀(jì)要,信息安全工作決策文檔等)
11、應(yīng)與公安機(jī)關(guān)、電信公司和兄弟單位等的溝通合作(外聯(lián)單位聯(lián)系列表)
12、應(yīng)與供應(yīng)商、業(yè)界專(zhuān)家、專(zhuān)業(yè)的安全公司、安全組織等建立溝通、合作機(jī)制。
13、聘請(qǐng)信息安全專(zhuān)家作為常年的安全顧問(wèn)(具有安全顧問(wèn)名單或者聘請(qǐng)安全顧問(wèn)的證明文件、具有安全顧問(wèn)參與評(píng)審的文檔或記錄)
14、應(yīng)組織人員定期對(duì)信息系統(tǒng)進(jìn)行安全檢查(查看檢查內(nèi)容是否包括系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況)
15、應(yīng)定期進(jìn)行全面安全檢查(安全檢查是否包含現(xiàn)行技術(shù)措施有效性和管理制度執(zhí)行情況等方面、具有安全檢查表格,安全檢查報(bào)告,檢查結(jié)果通告記錄)
四、人員安全管理
1、何部門(mén)/何人負(fù)責(zé)安全管理和技術(shù)人員的錄用工作(錄用過(guò)程)
2、應(yīng)對(duì)被錄用人的身份、背景、專(zhuān)業(yè)資格和資質(zhì)進(jìn)行審查,對(duì)技術(shù)人員的技術(shù)技能進(jìn)行考核,技能考核文檔或記錄
3、應(yīng)與錄用后的技術(shù)人員簽署保密協(xié)議(協(xié)議中有保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容)
4、應(yīng)設(shè)定關(guān)鍵崗位,對(duì)從事關(guān)鍵崗位的人員是否從內(nèi)部人員中選拔,是否要求其簽署崗位安全協(xié)議。
5、應(yīng)及時(shí)終止離崗人員的所有訪(fǎng)問(wèn)權(quán)限(離崗人員所有訪(fǎng)問(wèn)權(quán)限終止的記錄)
6、應(yīng)及時(shí)取回離崗人員的各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備等(交還身份證件和設(shè)備等的登記記錄)
7、人員離崗應(yīng)辦理調(diào)離手續(xù),是否要求關(guān)鍵崗位調(diào)離人員承諾相關(guān)保密義務(wù)后方可離開(kāi)(具有按照離崗程序辦理調(diào)離手續(xù)的記錄,調(diào)離人員的簽字)
8、對(duì)各個(gè)崗位人員應(yīng)定期進(jìn)行安全技能考核;具有安全技能考核記錄,考核內(nèi)容要求包含安全知識(shí)、安全技能等。
9、對(duì)關(guān)鍵崗位人員的安全審查和考核與一般崗位人員有何不同,審查內(nèi)容是否包括操作行為和社會(huì)關(guān)系等。
10、應(yīng)對(duì)各類(lèi)人員(普通用戶(hù)、運(yùn)維人員、單位領(lǐng)導(dǎo)等)進(jìn)行安全教育、崗位技能和安全技術(shù)培訓(xùn)。
11、應(yīng)針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃,并按照計(jì)劃對(duì)各個(gè)崗位人員進(jìn)行安全教育和培訓(xùn)(安全教育和培訓(xùn)的結(jié)果記錄,記錄應(yīng)與培訓(xùn)計(jì)劃一致)
12、外部人員進(jìn)入條件(對(duì)哪些重要區(qū)域的訪(fǎng)問(wèn)須提出書(shū)面申請(qǐng)批準(zhǔn)后方可進(jìn)入),外部人員進(jìn)入的訪(fǎng)問(wèn)控制(由專(zhuān)人全程陪同或監(jiān)督等)
13、應(yīng)具有外部人員訪(fǎng)問(wèn)重要區(qū)域的書(shū)面申請(qǐng)
14、應(yīng)具有外部人員訪(fǎng)問(wèn)重要區(qū)域的登記記錄(記錄描述了外部人員訪(fǎng)問(wèn)重要區(qū)域的進(jìn)入時(shí)間、離開(kāi)時(shí)間、訪(fǎng)問(wèn)區(qū)域、訪(fǎng)問(wèn)設(shè)備或信息及陪同人等)
五、系統(tǒng)建設(shè)管理
1、應(yīng)明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)(具有定級(jí)文檔,明確信息系統(tǒng)安全保護(hù)等級(jí))
2、應(yīng)具有系統(tǒng)建設(shè)/整改方案
3、應(yīng)授權(quán)專(zhuān)門(mén)的部門(mén)對(duì)信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃,由何部門(mén)/何人負(fù)責(zé)
4、應(yīng)具有系統(tǒng)的安全建設(shè)工作計(jì)劃(系統(tǒng)安全建設(shè)工作計(jì)劃中明確了近期和遠(yuǎn)期的安全建設(shè)計(jì)劃)
5、應(yīng)組織相關(guān)部門(mén)和有關(guān)安全技術(shù)專(zhuān)家對(duì)總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件進(jìn)行論證和審定(配套文件的論證評(píng)審記錄或文檔)
6、應(yīng)對(duì)總體安全策略、安全技術(shù)框架、安全管理策略等相關(guān)配套文件應(yīng)定期進(jìn)行調(diào)整和修訂
7、應(yīng)具有總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的維護(hù)記錄或修訂版本
8、應(yīng)按照國(guó)家的相關(guān)規(guī)定進(jìn)行采購(gòu)和使用系統(tǒng)信息安全產(chǎn)品
9、安全產(chǎn)品的相關(guān)憑證,如銷(xiāo)售許可等,應(yīng)使用符合國(guó)家有關(guān)規(guī)定產(chǎn)品
10、應(yīng)具有專(zhuān)門(mén)的部門(mén)負(fù)責(zé)產(chǎn)品的采購(gòu)
11、采購(gòu)產(chǎn)品前應(yīng)預(yù)先對(duì)產(chǎn)品進(jìn)行選型測(cè)試確定產(chǎn)品的候選范圍,形成候選產(chǎn)品清單,是否定期審定和更新候選產(chǎn)品名單
12、應(yīng)具有產(chǎn)品選型測(cè)試結(jié)果記錄和候選產(chǎn)品名單及更新記錄(產(chǎn)品選型測(cè)試結(jié)果文檔)
13、應(yīng)具有軟件設(shè)計(jì)相關(guān)文檔,專(zhuān)人保管軟件設(shè)計(jì)的相關(guān)文檔,應(yīng)具有軟件使用指南或操作手冊(cè)
14、對(duì)程序資源庫(kù)的修改、更新、發(fā)布應(yīng)進(jìn)行授權(quán)和批準(zhǔn)
15、應(yīng)具有程序資源庫(kù)的修改、更新、發(fā)布文檔或記錄
16、軟件交付前應(yīng)依據(jù)開(kāi)發(fā)協(xié)議的技術(shù)指標(biāo)對(duì)軟件功能和性能等進(jìn)行驗(yàn)收檢測(cè)
17、軟件安裝之前應(yīng)檢測(cè)軟件中的惡意代碼(該軟件包的惡意代碼檢測(cè)報(bào)告),檢測(cè)工具是否是第三方的商業(yè)產(chǎn)品
18、應(yīng)具有軟件設(shè)計(jì)的相關(guān)文檔和使用指南
19、應(yīng)具有需求分析說(shuō)明書(shū)、軟件設(shè)計(jì)說(shuō)明書(shū)、軟件操作手冊(cè)等開(kāi)發(fā)文檔
20、應(yīng)指定專(zhuān)門(mén)部門(mén)或人員按照工程實(shí)施方案的要求對(duì)工程實(shí)施過(guò)程進(jìn)行進(jìn)度和質(zhì)量控制
21、應(yīng)具有工程實(shí)施過(guò)程應(yīng)按照實(shí)施方案形成各種文檔,如階段性工程進(jìn)程匯報(bào)報(bào)告,工程實(shí)施方案
22、在信息系統(tǒng)正式運(yùn)行前,應(yīng)委托第三方測(cè)試機(jī)構(gòu)根據(jù)設(shè)計(jì)方案或合同要求對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的安全性測(cè)試(第三方測(cè)試機(jī)構(gòu)出示的系統(tǒng)安全性測(cè)試驗(yàn)收?qǐng)?bào)告)
23、應(yīng)具有工程測(cè)試驗(yàn)收方案(測(cè)試驗(yàn)收方案與設(shè)計(jì)方案或合同要求內(nèi)容一致)
24、應(yīng)具有測(cè)試驗(yàn)收?qǐng)?bào)告
25、應(yīng)指定專(zhuān)門(mén)部門(mén)負(fù)責(zé)測(cè)試驗(yàn)收工作(具有對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定的意見(jiàn))
26、根據(jù)交付清單對(duì)所交接的設(shè)備、文檔、軟件等進(jìn)行清點(diǎn)(系統(tǒng)交付清單)
27、應(yīng)具有系統(tǒng)交付時(shí)的技術(shù)培訓(xùn)記錄
28、應(yīng)具有系統(tǒng)建設(shè)文檔(如系統(tǒng)建設(shè)方案)、指導(dǎo)用戶(hù)進(jìn)行系統(tǒng)運(yùn)維的文檔(如服務(wù)器操作規(guī)程書(shū))以及系統(tǒng)培訓(xùn)手冊(cè)等文檔。
29、應(yīng)指定部門(mén)負(fù)責(zé)系統(tǒng)交付工作
30、應(yīng)具有與產(chǎn)品供應(yīng)商、軟件開(kāi)發(fā)商、系統(tǒng)集成商、系統(tǒng)運(yùn)維商和等級(jí)測(cè)評(píng)機(jī)構(gòu)等相關(guān)安全服務(wù)商簽訂的協(xié)議(文檔中有保密范圍、安全責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人的簽字等內(nèi)容
31、選定的安全服務(wù)商應(yīng)提供一定的技術(shù)培訓(xùn)和服務(wù)
32、應(yīng)與安全服務(wù)商簽訂的服務(wù)合同或安全責(zé)任合同書(shū)
六、系統(tǒng)運(yùn)維管理
1、應(yīng)指定專(zhuān)人或部門(mén)對(duì)機(jī)房的基本設(shè)施(如空調(diào)、供配電設(shè)備等)進(jìn)行定期維護(hù),由何部門(mén)/何人負(fù)責(zé)。
2、應(yīng)具有機(jī)房基礎(chǔ)設(shè)施的維護(hù)記錄,空調(diào)、溫濕度控制等機(jī)房設(shè)施定期維護(hù)保養(yǎng)的記錄
3、應(yīng)指定部門(mén)和人員負(fù)責(zé)機(jī)房安全管理工作
4、應(yīng)對(duì)辦公環(huán)境保密性進(jìn)行管理(工作人員離開(kāi)座位確保終端計(jì)算機(jī)退出登錄狀態(tài)、桌面上沒(méi)有包含敏感信息的紙檔文件)
5、應(yīng)具有資產(chǎn)清單(覆蓋資產(chǎn)責(zé)任人、所屬級(jí)別、所處位置、所處部門(mén)等方面)
6、應(yīng)指定資產(chǎn)管理的責(zé)任部門(mén)或人員
7、應(yīng)依據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)
8、介質(zhì)存放于何種環(huán)境中,應(yīng)對(duì)存放環(huán)境實(shí)施專(zhuān)人管理(介質(zhì)存放在安全的環(huán)境(防潮、防盜、防火、防磁,專(zhuān)用存儲(chǔ)空間))
9、應(yīng)具有介質(zhì)使用管理記錄,應(yīng)記錄介質(zhì)歸檔和使用等情況(介質(zhì)存放、使用管理記錄)
10、對(duì)介質(zhì)的物理傳輸過(guò)程應(yīng)要求選擇可靠傳輸人員、嚴(yán)格介質(zhì)的打包(如采用防拆包裝置)、選擇安全的物理傳輸途徑、雙方在場(chǎng)交付等環(huán)節(jié)的控制
11、應(yīng)對(duì)介質(zhì)的使用情況進(jìn)行登記管理,并定期盤(pán)點(diǎn)(介質(zhì)歸檔和查詢(xún)的記錄、存檔介質(zhì)定期盤(pán)點(diǎn)的記錄)
12、對(duì)送出維修或銷(xiāo)毀的介質(zhì)如何管理,銷(xiāo)毀前應(yīng)對(duì)數(shù)據(jù)進(jìn)行凈化處理。(對(duì)帶出工作環(huán)境的存儲(chǔ)介質(zhì)是否進(jìn)行內(nèi)容加密并有領(lǐng)導(dǎo)批準(zhǔn)。對(duì)保密性較高的介質(zhì)銷(xiāo)毀前是否有領(lǐng)導(dǎo)批準(zhǔn))(送修記錄、帶出記錄、銷(xiāo)毀記錄)
13、應(yīng)對(duì)某些重要介質(zhì)實(shí)行異地存儲(chǔ),異地存儲(chǔ)環(huán)境是否與本地環(huán)境相同(防潮、防盜、防火、防磁,專(zhuān)用存儲(chǔ)空間)
14、介質(zhì)上應(yīng)具有分類(lèi)的標(biāo)識(shí)或標(biāo)簽
15、應(yīng)對(duì)各類(lèi)設(shè)施、設(shè)備指定專(zhuān)人或?qū)iT(mén)部門(mén)進(jìn)行定期維護(hù)。
16、應(yīng)具有設(shè)備操作手冊(cè)
17、應(yīng)對(duì)帶離機(jī)房的信息處理設(shè)備經(jīng)過(guò)審批流程,由何人審批(審批記錄)
18、應(yīng)監(jiān)控主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的運(yùn)行狀況等
19、應(yīng)有相關(guān)網(wǎng)絡(luò)監(jiān)控系統(tǒng)或技術(shù)措施能夠?qū)νㄐ啪€(xiàn)路、主機(jī)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶(hù)行為等進(jìn)行監(jiān)測(cè)和報(bào)警 20、應(yīng)具有日常運(yùn)維的監(jiān)控日志記錄和運(yùn)維交接日志記錄
21、應(yīng)定期對(duì)監(jiān)控記錄進(jìn)行分析、評(píng)審
22、應(yīng)具有異常現(xiàn)象的現(xiàn)場(chǎng)處理記錄和事后相關(guān)的分析報(bào)告
23、應(yīng)建立安全管理中心,對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等相關(guān)事項(xiàng)進(jìn)行集中管理
24、應(yīng)指定專(zhuān)人負(fù)責(zé)維護(hù)網(wǎng)絡(luò)安全管理工作
25、應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行過(guò)升級(jí),更新前應(yīng)對(duì)現(xiàn)有的重要文件是否進(jìn)行備份(網(wǎng)絡(luò)設(shè)備運(yùn)維維護(hù)工作記錄)
26、應(yīng)對(duì)網(wǎng)絡(luò)進(jìn)行過(guò)漏洞掃描,并對(duì)發(fā)現(xiàn)的漏洞進(jìn)行及時(shí)修補(bǔ)。
27、對(duì)設(shè)備的安全配置應(yīng)遵循最小服務(wù)原則,應(yīng)對(duì)配置文件進(jìn)行備份(具有網(wǎng)絡(luò)設(shè)備配置數(shù)據(jù)的離線(xiàn)備份)
28、系統(tǒng)網(wǎng)絡(luò)的外聯(lián)種類(lèi)(互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng)、上級(jí)部門(mén)網(wǎng)絡(luò)等)應(yīng)都得到授權(quán)與批準(zhǔn),由何人/何部門(mén)批準(zhǔn)。應(yīng)定期檢查違規(guī)聯(lián)網(wǎng)的行為。
29、對(duì)便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入應(yīng)進(jìn)行限制管理
30、應(yīng)具有內(nèi)部網(wǎng)絡(luò)外聯(lián)的授權(quán)批準(zhǔn)書(shū),應(yīng)具有網(wǎng)絡(luò)違規(guī)行為(如撥號(hào)上網(wǎng)等)的檢查手段和工具。
31、在安裝系統(tǒng)補(bǔ)丁程序前應(yīng)經(jīng)過(guò)測(cè)試,并對(duì)重要文件進(jìn)行備份。
32、應(yīng)有補(bǔ)丁測(cè)試記錄和系統(tǒng)補(bǔ)丁安裝操作記錄
33、應(yīng)對(duì)系統(tǒng)管理員用戶(hù)進(jìn)行分類(lèi)(比如:劃分不同的管理角色,系統(tǒng)管理權(quán)限與安全審計(jì)權(quán)限分離等)
34、審計(jì)員應(yīng)定期對(duì)系統(tǒng)審計(jì)日志進(jìn)行分析(有定期對(duì)系統(tǒng)運(yùn)行日志和審計(jì)數(shù)據(jù)的分析報(bào)告)
35、應(yīng)對(duì)員工進(jìn)行基本惡意代碼防范意識(shí)的教育,如告知應(yīng)及時(shí)升級(jí)軟件版本(對(duì)員工的惡意代碼防范教育的相關(guān)培訓(xùn)文檔)
36、應(yīng)指定專(zhuān)人對(duì)惡意代碼進(jìn)行檢測(cè),并保存記錄。
37、應(yīng)具有對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測(cè)的記錄
38、應(yīng)對(duì)惡意代碼庫(kù)的升級(jí)情況進(jìn)行記錄(代碼庫(kù)的升級(jí)記錄),對(duì)各類(lèi)防病毒產(chǎn)品上截獲的惡意代碼是否進(jìn)行分析并匯總上報(bào)。是否出現(xiàn)過(guò)大規(guī)模的病毒事件,如何處理
39、應(yīng)具有惡意代碼檢測(cè)記錄、惡意代碼庫(kù)升級(jí)記錄和分析報(bào)告 40、應(yīng)具有變更方案評(píng)審記錄和變更過(guò)程記錄文檔。
41、重要系統(tǒng)的變更申請(qǐng)書(shū),應(yīng)具有主管領(lǐng)導(dǎo)的批準(zhǔn)
42、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員和網(wǎng)絡(luò)管理員應(yīng)識(shí)別需定期備份的業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)(備份文件記錄)
43、應(yīng)定期執(zhí)行恢復(fù)程序,檢查和測(cè)試備份介質(zhì)的有效性
44、應(yīng)有系統(tǒng)運(yùn)維過(guò)程中發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件對(duì)應(yīng)的報(bào)告或相關(guān)文檔
45、應(yīng)對(duì)安全事件記錄分析文檔
46、應(yīng)具有不同事件的應(yīng)急預(yù)案
47、應(yīng)具有應(yīng)急響應(yīng)小組,應(yīng)具備應(yīng)急設(shè)備并能正常工作,應(yīng)急預(yù)案執(zhí)行所需資金應(yīng)做過(guò)預(yù)算并能夠落實(shí)。
48、應(yīng)對(duì)系統(tǒng)相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)(應(yīng)急預(yù)案培訓(xùn)記錄)
49、應(yīng)定期對(duì)應(yīng)急預(yù)案進(jìn)行演練(應(yīng)急預(yù)案演練記錄)50、應(yīng)對(duì)應(yīng)急預(yù)案定期進(jìn)行審查并更新
51、應(yīng)具有更新的應(yīng)急預(yù)案記錄、應(yīng)急預(yù)案審查記錄。
點(diǎn)擊咨詢(xún) 